Исследователи из CheckPoint выяснили, что эксплойт-пак RIG пополнил обновленный зловред CEIDPageLock. Программа взламывает браузер жертвы и подменяет легитимные страницы популярных сайтов на фишинговые копии. Кампания нацелена на китайский рынок и приносит организаторам прибыль за счет перенаправления пользователя по реферальным ссылкам.

Первые сведения о CEIDPageLock появились несколько месяцев назад, когда исследователи обнаружили его в дикой природе. По утверждению специалистов, с тех пор зловред существенно изменился и стал эффективнее. Теперь программа динамически подбирает фишинговый контент, а также анализирует сведения о поведении пользователя для показа ему релевантной рекламы.

Загрузчик вредоноса сохраняет драйвер houzi.sys в системную папку \\Windows\\Temp. Файл подписан сертификатом соответствия, который на данный момент отозван выдавшей его организацией. Сразу после регистрации в системе программа отсылает MAC-адрес и ID зараженного компьютера на командный сервер, после чего прописывается в список автозагрузки.

Ключевая функция CEIDPageLock — скачивание с сайта злоумышленников фальшивого контента, имитирующего популярные в Китае сайты. Программа заменяет домашнюю страницу браузера на фишинговый вариант поисковой системы 2345.com, а при посещении еще нескольких порталов автоматически показывает жертве подложный вариант, содержащий большое количество реферальных ссылок.

В отличие от предыдущей версии руткита, обновленный зловред упакован при помощи утилиты VMProtect, что затрудняет его анализ и обнаружение. Кроме того, программа запрещает браузеру обращаться к антивирусным системам для проверки загружаемого контента. Список блокируемых приложений расширен по сравнению со старым вариантом и включает в себя десять утилит, распространенных на территории Китая.

Использование таких сложных средств защиты, как VMProtect, может показаться излишним для взломщика браузера, нацеленного на модерацию трафика. Однако, скорее всего, этот относительно простой зловред приносит злоумышленникам хорошую прибыль, поэтому они решили инвестировать дополнительные средства в его развитие.

«Несмотря на то, что CEIDPageLock кажется лишь назойливой и неопасной программой, он способен выполнить на зараженном устройстве код в режиме ядра, что создает возможность использования его в качестве бэкдора», — подчеркнули исследователи.

Эксплойт-пак RIG остается одним из самых активных наборов вредоносных программ в 2018 году. Несмотря на сокращение доли готовых пакетов на криминальном рынке, он постоянно развивается и регулярно появляется на радарах ИБ-специалистов. Среди других комплектов, стоящих на вооружении у киберпреступников, эксперты выделяют GrandSoft и Magnitude.

Категории: Вредоносные программы, Главное, Мошенничество