Специалисты по информационной безопасности сообщают о новой вредоносной кампании с использованием эксплойт-пака Fallout. Злоумышленники атакуют посетителей сайтов через баннеры дешевых рекламных сетей и перенаправляют жертву на криминальные ресурсы, пытающиеся установить полезную нагрузку посредством эксплойта известных уязвимостей в Windows и Internet Explorer.

Кампания, получившая название HookAds, использует для размещения своих баннеров рекламные сети, ориентированные на порносайты, онлайн-казино и порталы, посвященные «черному SEO«. Как правило, показ объявлений на подобных площадках стоит недорого, а модерация контента отсутствует. Киберпреступники загружают на страницы сомнительных ресурсов промо-материалы, которые содержат скрипты, перенаправляющие жертву на цепочку подконтрольных им веб-серверов.

На страницах криминальных сайтов размещена реклама, онлайн-игры или другой низкокачественный контент, служащий прикрытием для вредоносного кода — его пытается скрытно запустить на компьютере набор эксплойтов Fallout. Если жертва использует Internet Explorer, для проникновения на устройство злоумышленники пытаются эксплуатировать уязвимость CVE-2018-8174, допускающую выполнение стороннего кода в контексте текущего пользователя Windows. Microsoft закрыла брешь в мае 2018 года, но ее успели взять на вооружение авторы нескольких эксплойт-паков.

Исследователи выделяют две волны вредоносной кампании HookAds. Первая после загрузки Fallout доставляет на инфицированную машину троян DanaBot, способный похищать пароли из браузеров и почтовых клиентов, а также внедрять в веб-страницы вредоносные скрипты для кражи финансовой информации. Зловред активен с мая 2018 года и уже успел отметиться в атаках на территории Польши, Италии, Германии и Австрии, на Украине, а также в странах Северной Америки.

Вторая атака несет в качестве полезной нагрузки вредонос Nocturnal Stealer, ориентированный на получение идентификаторов криптовалютных кошельков и данных, сохраненных в браузерах Chrome и Firefox. Кроме того, киберпреступники разворачивают на инфицированном компьютере шифровальщик GlobeImposter, замеченный в прошлогодних атаках на японские компании, а также в заражении тюменской больницы этим летом.

Категории: Аналитика, Вредоносные программы, Уязвимости