Os cibercriminosos estão aproveitando a crise do COVID-19, para lucrar com a situação. Recentemente, a Equipe de Inteligência de Ameaças da Avast descobriu cibercriminosos ajustando suas campanhas de malvertising para adaptar os seus anúncios maliciosos, tornando-os relevantes com relação à crise do COVID-19. Essas pessoas mal intencionadas compram espaços em uma rede de anúncios para exibir malvertising (anúncios maliciosos), em sites. Agora, os cibercriminosos estão usando nomes de sites que parecem hospedar informações relacionadas ao coronavírus e, portanto, dando às operadoras de rede de publicidade a impressão de que não são informações maliciosas. Essa campanha de publicidade mal intencionada em particular hospeda um kit de exploração chamado Fallout, que tenta explorar as vulnerabilidades nas versões mais antigas do Internet Explorer, sem uma ação do usuário ou conhecimento de que algo está acontecendo, para instalar o Kpot v2.0, um ladrão de informações e senhas.
O kit de exploração Fallout existe desde 2018 e, na maior parte, tem como alvo usuários japoneses e sul-coreanos. Em 26 de março de 2020, as pessoas mal-intencionadas por trás da campanha registraram o domínio covid19onlineinfo[.]com e, desde então, alternaram os domínios nos quais o kit de exploração está hospedado, registrando cerca de seis domínios por dia, na tentativa de evitar detecções de antivírus.
O malvertising geralmente é hospedado em sites de streaming e aberto automaticamente em uma nova guia, quando o usuário clica no botão de reprodução para visualizar um vídeo. Quando um usuário com o Fallout EK visita um site que hospeda o malvertising e atende aos critérios de uso de uma versão desatualizada do Internet Explorer, o kit de exploração tenta obter acesso ao computador da vítima. Ele tenta explorar uma vulnerabilidade no Adobe Flash Player (CVE-2018-15982, correção lançada em janeiro de 2019), que pode levar à execução arbitrária do código e uma vulnerabilidade de execução remota no mecanismo VBScript que afeta várias versões do Windows (CVE-2018-8174, correção lançada em maio de 2018). Isso pode causar uma falha no Internet Explorer, que é o único sinal de alerta que o usuário pode perceber.
No Comment