Ransomware Maze veicolato tramite Exploit Kit

22/10/2019

exploit exploit kit ransomware

 

Nei giorni scorsi, il ricercatore nao_sec ha rilevato una campagna predisposta per veicolare il ransomware Maze tramite l’ausilito dell’exploit SpelevoEK. L’exploit sfrutta una vulnerabilità, la CVE-2018-15982 presente nelle versioni di Flash Player 31.0.0.153 e 31.0.0.108. Se sfruttata con successo, l’exploit procede a scaricare e installare automaticamente il payload di Maze ransomware.

Installato il payload, il ransomware modifica l’estensione dei file presenti sul sistema e li cifra utilizzando la crittografia RSA-2048. Tra i file cifrati, sarà presente un file denominato DECRYPT-FILES.txt, ovvero una nota di riscatto con le indicazioni su come procedere per poter decifrare i file.

Il ransomware Maze è una variante di Chacha, quest’ultimo è stato scoperto a maggio e, come Maze, viene distribuito attraverso Exploit Kit, cifra i file e chiede un riscatto in criptovaluta.