В конце августа японский исследователь @nao_sec обнаружил в одной из рекламных сетей новый набор эксплойтов, именуемый Fallout. В настоящее время этот инструмент используется для доставки жертвам вымогательского ПО и потенциально нежелательных программ (PUP).

По имеющимся данным, новый эксплойт-пак устанавливается на взломанных сайтах. В пакет включены два новейших эксплойта: CVE-2018-4878 для Adobe Flash Player и CVE-2018-8174 для движка VBScript на Windows.

На момент обнаружения Fallout использовался для доставки программы-загрузчика SmokeLoader; тот в свою очередь грузил на машину DDoS-зловред CoalaBot и другой исполняемый файл, идентифицировать который не удалось. Для установки и запуска SmokeLoader, по словам @nao_sec, злоумышленники используют NSIS-инсталлятор.

Позднее наблюдатели из FireEye отследили и другую полезную нагрузку, доставляемую с помощью Fallout. После отработки эксплойта на Windows-машины загружался  вымогатель GandCrab, на macOS — лже-антивирус или поддельный Adobe Flash. При этом эксплойт-пак вначале задействует CVE-2018-8174, а затем, в случае неудачи, — CVE-2018-4878.

До загрузки GandCrab целевая машина проверяется на наличие запущенных процессов, ассоциируемых с виртуальной средой, песочницами, анализаторами трафика и другими инструментами исследования. Если таковые обнаружены, загрузка целевой вредоносной программы отменяется. В противном случае на компьютер загружается GandCrab, который начинает шифровать файлы, добавляя расширение .KRAB (по всей видимости, это четвертая версия зловреда). В папках с зашифрованными файлами GandCrab создает файл KRAB-DECRYPT.txt, содержащий инструкции для жертвы и закодированную информацию, необходимую для получения ключа расшифровки.

Появление Fallout говорит о том, что эксплойт-паки все еще актуальны для киберкриминала, хотя за последние пару лет этот рынок заметно увял. В настоящее время на интернет-арене активны четыре таких инструмента: Sundown, RIG, Grandsoft и KaiXin. Будущее покажет, сможет ли новобранец составить достойную конкуренцию этой квадриге — если, конечно, все они останутся на плаву.

Категории: Аналитика, Вредоносные программы