SECINFOSEX Telegram 21
tgoop.com » United States » secinfosex » Telegram web » Post 21
secinfosex
Подробные детали истории WizardOpium

В общем кто-то подломил корейский портал, и разместил там свой js с закосом под jQuery компонент.
JS выполнял первую стадию атаки - валидацию Chrome браузера на x64 архитектуру и версию >=65, и в случае успеха серией ajax запросов загружал и расшифровывал основную начинку.
Обфусцированная часть снова валидировала версию, но уже 76 и 77, что может намекать на то, что 0day под 65+ еще небыл адаптирован, но планировалось.
Далее через уязвимость пытались вычитать адреса из памяти процесса для обхода ASLR, забили кучу, и загрузили шеллкод(аллё, песочница!).
Стянули им пошифрованный бинарь из "worst.jpg" и дропнули updata.exe. Для персистентности заюзали Task Sheduler.
Далее из updata.exe, которая на самом деле была rar sfx архивом, вылезло два бинаря, один из которых - msdisp64.exe - полез на удаленный сервер за доп нагрузкой в папочку, которая там была, и волшебным образом совпала с именем пробитого компьютера.
Это может говорить, что эксплоит писался под конкретную цель.
Что он там пытался стянуть, кто цель - неизвестно.

#wizardopium
www.tgoop.com/secinfosex/21
1.7K viewsedited  



tgoop.com/secinfosex/21
Create:
Last Update:

Подробные детали истории WizardOpium

В общем кто-то подломил корейский портал, и разместил там свой js с закосом под jQuery компонент.
JS выполнял первую стадию атаки - валидацию Chrome браузера на x64 архитектуру и версию >=65, и в случае успеха серией ajax запросов загружал и расшифровывал основную начинку.
Обфусцированная часть снова валидировала версию, но уже 76 и 77, что может намекать на то, что 0day под 65+ еще небыл адаптирован, но планировалось.
Далее через уязвимость пытались вычитать адреса из памяти процесса для обхода ASLR, забили кучу, и загрузили шеллкод(аллё, песочница!).
Стянули им пошифрованный бинарь из "worst.jpg" и дропнули updata.exe. Для персистентности заюзали Task Sheduler.
Далее из updata.exe, которая на самом деле была rar sfx архивом, вылезло два бинаря, один из которых - msdisp64.exe - полез на удаленный сервер за доп нагрузкой в папочку, которая там была, и волшебным образом совпала с именем пробитого компьютера.
Это может говорить, что эксплоит писался под конкретную цель.
Что он там пытался стянуть, кто цель - неизвестно.

#wizardopium

BY secinfosex


Share with your friend now:
tgoop.com/secinfosex/21

View MORE
Open in Telegram


Telegram News

Date: |

Clear On June 7, Perekopsky met with Brazilian President Jair Bolsonaro, an avid user of the platform. According to the firm's VP, the main subject of the meeting was "freedom of expression." Telegram users themselves will be able to flag and report potentially false content. Members can post their voice notes of themselves screaming. Interestingly, the group doesn’t allow to post anything else which might lead to an instant ban. As of now, there are more than 330 members in the group. The Standard Channel
from us


Подробные детали истории WizardOpium

 secinfosex TG
web: 21
secinfosex.Telegram web
secinfosex Telegram TG Channel
Telegram Updated:
Telegram secinfosex
FROM American