Angler уже зарекомендовал себя как один из самых продвинутых эксплойт-паков на черном рынке, но тем не менее продолжает эволюционировать. На этой неделе этот хакерский инструмент засветился в схеме доставки вымогателя CryptoWall, продемонстрировав эксплуатацию еще одной бреши, уже пропатченной Adobe.

Распространители блокеров-шифровальщиков и ранее использовали Angler для своих загрузок; так, недавно был обнаружен гибрид TeslaCrypt и AlphaCrypt, который раздается с помощью эксплойтов из названного набора. Уязвимости в продуктах Adobe регулярно добавляются в арсенал Angler в текущем году, одна из них недавно была задействована в ходе click-fraud-кампании с участием троянца Bedep.

В записи, сделанной в минувший четверг, репортер Центра SANS по сетевым угрозам Брэд Дункан (Brad Duncan) представил новые результаты наблюдений в отношении Angler. Исследователь спровоцировал две атаки с участием этого эксплойт-пака, в ходе которых на подставные хосты был загружен CryptoWall 3.0, причем на один из них — довеском к Bedep.

По словам Дункана, в обоих случаях криптоблокер использовал один и тот же Bitcoin-адрес, предлагаемый жертвам для уплаты выкупа. Сумма выкупа за дешифратор в долларовом эквиваленте была стандартной — $500.

инструкция Cryptowall 3.0, ISC SANS

(скриншот позаимствован с сайта ISC SANS)

«Я заметил, что Angler доставляет разных блокеров, — пишет исследователь в дневнике ISC SANS. — Мне также встречались образцы CryptoWall 3.0, раздаваемые с помощью эксплойт-пака Magnitude. Однако загрузку CryptoWall посредством Angler я вижу впервые».

Эксперты FireEye сообщают, что в наборе Angler объявился еще один эксплойт для Adobe Flash Player. Соответствующую уязвимость, CVE-2015-3090, разработчик закрыл две недели назад: это баг порчи памяти, обнаруженный Крисом Эвансом (Chris Evans) из Google Project Zero. Angler атакует данную брешь, пытаясь использовать состояние гонки, возникающее при инициализации объектов класса Shader; успешный эксплойт позволяет атакующим выполнить произвольный код и загрузить зловреда на уязвимую машину.

В расширении Angler за счет эксплойтов, ориентированных на продукты Adobe, ничего экстраординарного нет, однако исследователи из FireEye отметили, что такие открытия всегда тревожны.

В минувшем январе в данный набор были добавлены два эксплойта к Flash, в том числе для уязвимости нулевого дня, которая тогда же начала использоваться в схеме загрузки Bedep. В апреле пришла очередь CVE-2015-0359, а месяцем ранее Angler обрел возможность эксплуатировать CVE-2015-0336 (тоже во Flash) и уязвимость в IE, на тот момент уже пропатченную.

В марте операторы эксплойт-пака также начали осваивать новую технику обхода защиты, с тех пор известную как «затенение доменов«. Используя краденые учетные данные, они регистрируют большое количество поддоменов и используют их как редиректоры на вредоносные сайты.

Категории: Вредоносные программы, Уязвимости