Исследователи из Malwarebytes опубликовали результаты мониторинга активности эксплойт-паков в весенние месяцы. Согласно заключению, перемен к лучшему на этом фронте пока не наблюдается; более того, в распоряжении злоумышленников появился новый пакет для проведения атак.

Основным способом привлечения потенциальных жертв на площадки с эксплойтами остаются malvertising-кампании с фильтрацией по местоположению посетителей. Наибольшее количество попыток эксплуатации уязвимостей пришлось на США (61%), за ними с большим отрывом следуют Испания и Франция (12 и 6% соответственно). Среди азиатских стран по этому показателю лидирует Южная Корея (3%).

Чаще прочих в атаках используются уязвимости CVE-2018-8174 в Internet Explorer и CVE-2018-15982 в Adobe Flash Player. Некоторые наборы эксплойтов отдают предпочтение более давней CVE-2018-4878 (во Flash). Разработчики уже закрыли эти бреши, однако практика показывает, что патчинг популярных продуктов на местах может длиться долго, и преступники всегда успевают этим воспользоваться.

Новый игрок на рынке, получивший кодовое имя Spelevo, появился на радарах специалистов по ИБ в начале марта; в его арсенал входит новейший Flash-эксплойт CVE-2018-15982. Новобранец примечателен тем, что умеет проверять наличие виртуальной машины и при положительном результате отказывается от доставки полезной нагрузки. В настоящее время Spelevo используется для распространения модульного зловреда PsiXBot, предназначенного для кражи данных, а также банковского трояна IcedID.

Одним из наиболее активных эксплойт-паков является Fallout, объявившийся на интернет-арене в конце августа. Этой весной он многократно пытался применить эксплойт CVE-2018-8174 в рамках кампаний по засеву вымогателя GandCrab, а также похитителей информации Raccoon Stealer и Baldr.

Набор эксплойтов RIG тоже пока не желает уступать конкурентам; за последние месяцы он засветился во многих malvertising-кампаниях. Его операторы преимущественно используют Flash-эксплойт CVE-2018-4878 собственной модификации. Весной с его помощью осуществлялась доставка AZORult, Pitou и ботов, принявших участие в DDoS-атаке на инфраструктуру Electrum.

Долгожитель Magnitude не изменил своих привычек и по-прежнему проявляет себя только в странах Азиатско-Тихоокеанского региона, где раздает исключительно Magniber.

Underminer после долгого отсутствия вновь оживился; его сильно обфусцированные эксплойты для IE и Flash ныне используются для доставки вооруженного буткитом майнера криптовалюты на азиатские компьютеры.

В указанный период в Бразилии были также зафиксированы новые атаки эксплойт-пака Novidade, ориентированного на роутеры. Их целью являлась загрузка вредоносных программ, изменяющих настройки DNS для перенаправления жертв на фишинговые сайты.

Категории: Аналитика, Вредоносные программы, Уязвимости