Эксперты по безопасности предупреждают: некоторые онлайн-баннеры, зазывающие быстрым способом бросить курить или похудеть за 20 минут, в качестве бонуса угощают целевую аудиторию вредоносным ПО. Специалисты из Zscaler обнаружили рекламные блоки, перенаправляющие браузеры на вредоносные целевые страницы с набором эксплойтов Terror.

Новая malvertising-кампания была продолжительной: первый всплеск активности был зафиксирован 1 сентября, последующие наблюдались до 23 октября.

“В течение года эксплойт-пак Terror мало привлекал к себе внимания, но за последние два месяца его арсенал стали заметно чаще использовать через вредоносную рекламу”, — сообщает ИБ-эксперт Рохит Хэдж (Rohit Hegde) из Zscaler.

Terror — относительно свежий набор эксплойтов, впервые замеченный ранее в этом году. В отдельном отчете компании Zscaler авторы утверждают, что этот эксплойт-пак заимствует инструменты из других наборов, таких как Sundown и Hunter, а также включает дополнительные эксплойты, созданные для платформы тестирования Metasploit.

“Мы следим за эволюцией этого набора с момента его первого обнаружения. Авторы со временем переходили на новые домены, оформленные на краденные личные данные и собирающие трафик с рекламной сети PopAds”, — сказал Дерек Гули (Derek Gooley), эксперт по информационной безопасности Zscaler.

Типичная для последних двух месяцев атака с применением Terror предполагает использование редиректов, внедренных в подставную всплывающую рекламу. “Код исходного скрипта JavaScript, запускаемого с вредоносной рекламной страницы, прошел обфускацию”, — отметил Хэдж.

“В ответ на запрос PHP-страница сообщает состояние HTTP 302 и перенаправляет браузер на лендинг-страницу Terror”, — пишут эксперты. Эта страница содержит скрипт VBScript и эксплойты на JavaScript.

По данным Zscaler, в ходе новой malvertising-кампании применялись эксплойты для двух уже пропатченных уязвимостей — CVE-2016-0189 и CVE-2014-6332. Первая представляет собой баг повреждения памяти и присутствует в скриптовых движках Jscript (5.8) и VBScript (5.7, 5.8) браузеров Internet Explorer 9–11. Вторая позволяет удаленно выполнить код, используя OLE-функциональность Windows 7, 8 или 8.1.

Кроме того, целевая страница обращается к другому URL-адресу, который пытается загрузить три Flash-эксплойта.

“Операторы эксплойт-пака Terror начали защищать свои SWF-файлы от декомпиляции утилитой DComSoft SWF Protector”, — поясняют в Zscaler.

Что касается полезной нагрузки, эксперты относят ее к семейству троянских загрузчиков Smoke Loader: “Ранее на этой неделе в период активности Terror мы обнаружили полезную нагрузку в виде Smoke Loader с MD5-хешем 6ea344d0db80ab6e5cabdc9dcecd5ad4. Новейший вариант полезной нагрузки имеет MD5-хеш b23745bcd2937b9cfaf6a60ca72d3d67”.

Smoke Loader также известен как Backdoor.Win32.Mokes, дающий злоумышленникам удаленный контроль над зараженным компьютером.

Категории: Аналитика, Вредоносные программы, Уязвимости