Ссылаясь на данные Cyphort Labs, журналисты The Register предупреждают о текущей эксплойт-кампании, нацеленной на засев шифровальщика CTB Locker, он же Critroni. Злоумышленники используют множество редиректоров, размещенных на IP-адресах московского хостинг-провайдера «Рустелеком», для перенаправления пользователей на эксплойт-пак Nuclear.

Со слов Ника Билогорского (Nick Bilogorskiy) из Cyphort, с начала 2015 года исследователи обнаружили более 60 сайтов-редиректоров, привязанных к двум блокам адресов «Рустелеком», 1.136.243.224.9 — 136.243.224.10 и 2.136.243.25.241 — 136.243.25.245. В основном это сайты фитнес-центров, косметических салонов, геймерских сообществ и новостных изданий технического профиля, использующие комьюнити-платформы vBulletin и IP Board. Опираясь на данные SimilarWeb, исследователи оценили совокупную посещаемость этих площадок — свыше 20 млн визитов в месяц.

К слову, в текущем месяце Symantec фиксирует рост числа атак на веб-серверы, использующие платформу vBulletin. По всей видимости, злоумышленники пытаются эксплуатировать недавно пропатченную уязвимость 0-day, актуальную для vBulletin Connect версий с 5.1.4 по 5.1.9 и позволяющую удаленно выполнить код на уязвимой машине.

Попытки Cyphort предупредить владельцев скомпрометированных ресурсов об их роли в распространении инфекции потерпели неудачу: в большинстве случаев контактные данные на сайте-редиректоре не соответствовали принятым нормам.

Во избежание неприятностей пользователям рекомендуется:

  • обходить стороной адреса «Рустелеком», задействованные в данной вредоносной кампании;
  • использовать надежные пропатченные браузеры вроде Google Chrome;
  • отключить плагины Java и Flash;
  • поддерживать систему и защитное ПО в актуальном состоянии;
  • применять специализированную защиту Microsoft EMET или вовсе отказаться от Windows;
  • регулярно проверять запущенные процессы, чтобы вовремя отследить подозрительную активность на компьютере.

Категории: Вредоносные программы, Хакеры