3ROSエクスプロイトキットは、これまでに登場したマルウェアツールの中で最もユーザーフレンドリーなものの一つであり、今後さらに亜種が生まれる可能性が高いとマルウェア専門家らは述べている。
エクスプロイトキットは、多数のウェブユーザーに感染させるのに最もよく使われる手法です。マルウェアには、FirefoxやJavaなどの主要なブラウザやソフトウェアに対する既知およびゼロデイのエクスプロイトが多数含まれており、マシンにペイロードを押し込むのに役立ちます。
これは最も先進的または人気の高いエクスプロイトキットではないが、作成者であるElasticaのAditya K. Sood氏とSecNiche Security LabsのRohit Bansal氏は、これは巧妙であり、他の犯罪のモデルとなるはずだと述べている。
Virus Bulletin の論文「3ROS エクスプロイト フレームワーク キット - 感染経路のもう 1 つ[pdf] 」では、このエクスプロイト キットを 5 か月間追跡した結果、Hunter と呼ばれる別の強力なキットに変化した可能性があると述べています。
3ROS の作成者は、ドライブバイダウンロード攻撃中に感染プロセスを「スムーズに」するさまざまな手法を使用しており、犯罪者にとって魅力的でした。
「管理の観点から見ると、3ROSの設計は非常に先進的であり、同じソースコードがさまざまな方法で使用され、より多くの亜種が生成されるようになることが予想されます」と2人は言う。
「3ROSエクスプロイトキットの分析中に遭遇した言語や用語などの指標に基づいて、これはロシアまたはウクライナ起源であると考えています。」
GUI。
2 人は、犯罪者は洗練された GUI を使用して好みのエクスプロイト、マルウェア、シェルコードを選択し、その不正な作成物をウイルス対策チェック サービスにアップロードできると述べています。
マルウェアやネットワークを侵害するウェブスカムは、感染したマシンにアカウントを追加したり、ペイロードを実行するコードを「ダウンロードして実行」したりする、より優れたシェルコードを提供する選択肢に満足するでしょう。研究者たちは、このエクスプロイトキットについて次のように述べています。
攻撃者がマルウェアの配信よりも侵入先マシンの制御権を握ることに重点を置くケースを想定し、エクスプロイトキットは、指定されたポートにシェルを直接バインドし、リバースシェルを実行し、侵入先マシンに不正なアカウントを追加するシェルコードをサポートしています。攻撃者は、特定のネットワーク環境に必要な情報を提供することで、すべてのシェルコードのシェルコード引数を容易に設定できます。
Web スカムは、新しいエクスプロイトやサービスについて警告する通知システムを通じて更新も受け取ります。®
