Spelevo EK使用社会工程技术

2019年有许多的漏洞利用套件出现，但漏洞利用套件多年来一直没有被认为是潜在的威胁面。研究人员近期发现了一个漏洞利用套件——Spelevo，Spelevo尝试通过成人网站的流行性来入侵更多的设备。

当前Chromium主宰的浏览器市场份额引发了许多社会工程攻击和其他无需漏洞利用就可以感染用户的威胁。研究人员发现攻击活动中恶意广告位于tie 2成人网站上。

近期，研究人员捕获了一个不同寻常的Spelevo漏洞利用套件，在尝试触发IE和Flash player的漏洞后， 用户就会被重定向到诱饵成人网站上。

 图 1: 与社会工程协作的漏洞利用套件

Spelevo EK会让浏览器加载该网站，让社会工程攻击的受害者安装一个视频编码器来播放影片。这就加大了Spelevo EK运营者入侵新设备成功的几率。

Spelevo EK修改重定向URL

研究人员发现攻击者同时运营着多个攻击活动，并将到成人网站的流量转换未恶意软件加载。在其中一个攻击活动中，研究人员发现一个网站上的恶意广告攻击活动，每个月的访问量超过5000万。

图 2: 到soc. Engineering网站的流量

研究人员收集了2个直接来自Spelevo EK的payload：

· Ursnif/Gozi

· Qbot/Qakbot

Spelevo EK与其他漏洞利用套件不同的一点是将受害者重定向到google.com后再利用，一般会延迟10秒：

图 3: 重定向到Google+10秒延迟

但在最新的样本中，研究人员发现该脚本被重新编辑过了，延迟的时间增加到了60秒：

图 4: 重定向到Google+60秒延迟

这一简单的修改非常重要，因为这给了漏洞利用套件足够的时间来运行所有，并调用EK框架的最新的URL。研究人员还发现，之前payload之后的URL有一个结束的模型：&00000111&11。现在新的模型是字母n之后+32个字符：

 图 5: 来自EK的诱饵成人网站

在refresh tag生效之前，浏览器会被重定向到新的位置，就是诱饵成人网站。

社会工程作为备份攻击方法

伪造的诱饵成人网站没有什么特别的，它在恶意广告攻击活动链中工作很正常。受害者甚至不会意识到漏洞利用尝试的过程。

 图 6: 伪造的成人网站用虚假视频编码器诱惑用户

在样本中，站点建议用户下载文件lookatmyplayer_codec.exe。下载视频编码器来在线播放视频也是很常见的技术。但这种方法的效果很好，仍然被用来入侵用户。

下载的伪造的视频编码器就是Qbot/Qakbot——Spelevo EK传播的payload之一。换句话说，攻击者有两种方式来感染受害者，那就是通过漏洞利用套件或伪造的视频编码器。

这也并非漏洞利用套件运营者第一次加入社会工程元素，早在2017年，Magnitude EK就推送一个虚假的Windows Defender通知，而Disdain EK诱使用户进行伪造的Flash Player更新。