С начала сентября исследователи из SucuriLabs наблюдают эксплойт-кампанию, использующую тысячи скомпрометированных WordPress-сайтов в качестве редиректоров на лендинг-страницы Nuclear. В середине текущего месяца суточная норма таких взломов, регистрируемая экспертами, за два дня возросла с 1 тыс. до 6 тыс.

По данным Sucuri, платформу WordPress используют 95% веб-сайтов, задействованных в данной кампании; 17% из них уже внесены в черные списки Google. По всей видимости, атакующие используют какие-то уязвимости в плагинах, чтобы установить редирект.

Исследователи нарекли новую вредоносную кампанию VisitorTracker — по имени функции, добавляемой ко всем JavaScript на взломанном сайте для взаимодействия с установленным бэкдором. В результате отработки сценария в браузер визитера загружается зловредный iFrame. Исследователи отмечают, что лендинг-страница Nuclear, на которую попадает потенциальная жертва, постоянно меняется, однако эксплойт остается прежним.

До недавнего времени Nuclear считался самым распространенным эксплойт-паком, однако с ростом активности Angler и Neutrino его применение пошло на спад. Так, в минувшем июле на его долю, по данным Sophos, приходилось лишь 16% детектов, тогда как для Angler этот показатель составил 82,2%.

В текущем году Nuclear зачастую используется для доставки блокера-шифровальщика, которого в Microsoft называют Troldesh (Win32/Troldesh). Этот вымогатель, согласно MS, активно раздавался в июне; он обращается к жертве сразу на двух языках, по-русски и по-английски, и атакует в основном россиян и украинцев (80 и 9% детектов соответственно).

Категории: Аналитика, Вредоносные программы