Злоумышленники внедряют вредоносный редирект-код в рекламные объявления, чтобы перенаправить пользователей на сайты с набором эксплойтов Magnitude. В случае успешной эксплуатации посетителя награждают новейшим вариантом известного вымогательского ПО.

Эксплойт-пак Magnitude делает ставку в основном на drive-by-загрузки, эксплуатируя уязвимости в браузерных плагинах. Результаты анализа, проведенного специалистами из Zscaler, показали, что атаки с участием Magnitude осуществляются с помощью вредоносной рекламы. Такая схема известна как malvertising (размещение вредоносного контента на легитимных сайтах с помощью безобидных рекламных служб). В результате активации вредоносного баннера пользователь направляется через ряд редиректов на целевой сайт с эксплойтами Magnitude.

Техника использования промежуточных редиректоров, известная также как 302 cushioning (когда сервер выдает ошибку 302 — «Ресурс временно перемещен», с автоматическим HTTP-редиректом), помогает злоумышленникам обойти системы обнаружения и предотвращения вторжений. При подмене страницы с извещением об ошибке загрузки браузер пользователя автоматически перенаправляется на вредоносный ресурс. В данном случае на нем размещены эксплойты из набора Magnitude.

По свидетельству Zscaler, в обнаруженной вредоносной кампании применяются Flash-эксплойт и сильно обфусцированный JavaScript, который атакует уязвимость переполнения буфера в Internet Explorer, описанную в бюллетене MS13-009 и пропатченную Microsoft еще в феврале 2014 года.

Обычно после успешной атаки Magnitude производится загрузка целевого зловреда, однако в данном случае злоумышленники добавили еще один этап — загрузку шелл-кода. Последний с помощью Windows-библиотеки urlmon.dll запрашивает список URL и использует первую позицию в этом списке для загрузки CryptoWall 3.0.

«Это очень продуктивный блокер, который использует Bitcoin-транзакции и анонимайзер Tor для монетизации атак, — пишут эксперты Zscaler Эдвард Майлз (Edward Miles) и Крис Мэннон (Chris Mannon) в блоге компании. — Операторы зловреда используют такие технологии, так как они помогают им замести следы. Жертвы особенно уязвимы к этому виду вымогательства, ибо мало кто удосуживается делать резервные копии важных файлов, таких как документы и изображения».

Как удалось определить, инфраструктура грозного шифровальщика размещена преимущественно на территории Германии. Большая часть вредоносной рекламы привязана к ресурсу click2.systemaffiliate.com, оператором которого является рекламная сеть SunlightMedia. По утверждению оператора, вредоносные баннеры уже изолированы и подвергнуты блокировке.

Категории: Вредоносные программы