Несмотря на утрату популярности в криминальных кругах, готовые наборы эксплойтов все еще актуальны как интернет-угроза. В осенние месяцы эксперты продолжали наблюдать активность эксплойт-паков по всему миру и к своему удивлению даже зафиксировали появление двух новых игроков на рынке. Исследователи также отметили тревожную тенденцию: подобные инструменты атаки начали использоваться для доставки бестелесных зловредов, которых сложнее обнаружить.

«Этот тренд примечателен тем, что затрудняет обмен образцами и, возможно, повышает процент заражения за счет обхода некоторых защитных решений», — цитирует ZDNet запись Жерома Сегуры (Jérôme Segura) в блоге Malwarebytes. По словам аналитика, в настоящее время на полезную нагрузку, не оставляющую следов на диске, перешли три из девяти действующих эксплойт-паков: Magnitude, Underminer и Purple Fox.

Для привлечения потенциальных жертв на страницы с эксплойтами злоумышленники проводят malvertising-кампании, предпочитая размещать вредоносную рекламу на сайтах для взрослых. Из уязвимостей современные эксплойт-паки наиболее часто используют CVE-2018-8174 в Internet Explorer и CVE-2018-15982 в Adobe Flash Player. Более давний Flash-эксплойт CVE-2018-4878 также присутствует в некоторых пакетах, а некоторые из них вообще не содержат эксплойтов для Adobe Flash. Использование Flash-контента в Интернете сокращается, браузеры уже начали его блокировать, и злоумышленники, видимо, следуют общему тренду — изымают из оборота вредоносные коды, заточенные под сходящий со сцены продукт.

Так, от привычного Flash-эксплойта уже отказались операторы RIG; по данным экспертов, этот инструмент теперь полагается исключительно на уязвимости Internet Explorer. Осенью почтенный эксплойт-пак был замечен в распространении загрузчика Smoke Loader, а также шифровальщиков Sodinokibi, Paradise и AnteFrigus.

Набор эксплойтов Spelevo после мартовского дебюта начал пользоваться большой популярностью у инициаторов malvertising-кампаний, которые используют технику маскировки вредоносных страниц, известную как domain shadowing. Полезная нагрузка Spelevo стала разнообразнее: помимо инфостилера PsiXBot он доставляет трояна Gootkit и вымогателя Maze.

Эксплойт-пак Fallout примечателен тем, что в отличие от своих собратьев использует обфускацию и тщательно проверяет окружение, прежде чем загрузить целевого зловреда. Он также использует криптоалгоритм Диффи — Хеллмана как меру защиты от офлайн-анализа. В отчетный период злоумышленники использовали Fallout для доставки Sodinokibi, модульного трояна Danabot, а также похитителей информации AZORult, Kpot и Raccoon.

Поведение Magnitude мало изменилось. Он использует все ту же инфраструктуру с редиректами на фальшивые криптообменники и раздает вымогателя Magniber, однако загружает его бесфайловым методом.

Пакет эксплойтов GrandSoft умерил свою активность и в осенние месяцы использовался лишь для распространения вредоносного ПО Ramnit. Полезная нагрузка Underminer осталась прежней — это бестелесный зловред Hidden Bee, нацеленный на добычу криптовалюты. Эксплойт-пак KaiXin редко попадает в поле зрения экспертов. Его жертвами становятся в основном жители азиатских стран; осенью он был мобилизован для раздачи Windows-загрузчика Dupzom.

Новичок Purple Fox, по словам экспертов, представляет собой фреймворк для скрытой загрузки вредоносного ПО из веба бесфайловым методом. В настоящее время он используется для доставки инфостилера Kpot. Второй новобранец, Capesand, осенью засветился в malvertising-кампании, нацеленной на распространение njRAT. Новый эксплойт-пак создан на основе давнего проекта с открытым исходным кодом Demon Hunter и пока использует ходовые эксплойты для IE и Adobe Flash.

Категории: Аналитика, Вредоносные программы, Главное