В последние месяцы эксперты наблюдают миграцию вредоносных кампаний, использующих эксплойт-паки, с Neutrino на RIG. Французский исследователь Kafeine вдобавок отметил, что целью таких атак все чаще становится засев банковских троянцев (ZeuS Panda, Gootkit, Betabot), а не вымогательского ПО, как ранее.

Kafeine также подчеркнул, что операторы RIG не просто заняли нишу, освободившуюся из-за сворачивания деятельности Neutrino, которому в конце августа Cisco при поддержке GoDaddy нанесла решающий удар, но также прилагают все усилия, чтобы упрочить его позиции на рынке эксплойт-паков.

Так, анализ показал, что RIG ныне использует систему распределения трафика (TDS), которая позволяет объединять разные полезные нагрузки в одном потоке, варьируя их в зависимости от типа ОС, браузера и географического местоположения жертвы, а также упрощает работу с провайдером трафика. Технология TDS, по данным Kafeine, появилась на рынке эксплойт-паков вместе с Blackhole и исчезла из обихода вместе с Angler и Nuclear.

9 сентября, со слов Kafeine, в сетевом андеграунде растиражировали Jabber-сообщение продавца доступа к Neutrino: «We are closed. No new rents, no extends more» («Мы закрылись. Прием заявок на аренду прекращен, продлеваться она тоже не будет»). Ближе к середине сентября системы мониторинга Kafeine обнаружили новую версию RIG, с видоизмененной обфускацией лендинг-страниц, RC4-шифрованием полезной нагрузки, Neutrino-подобным поведением и дополнительным эксплойтом — для CVE-2016-0189. В RIG был также добавлен белый список IP-адресов, для которых разрешен вызов его API. Эта мера призвана предотвратить обнаружение и блокировку страниц с эксплойтами.

Появление усовершенствованной версии RIG (VIP-версии, как ее называет Kafeine) окончательно решило дальнейшую судьбу Neutrino. В районе 22 сентября в сетевом подполье не осталось ни одного рекламного объявления или баннера, связанного с этим набором эксплойтов. Тем не менее примерно в то же время Kafeine зафиксировал одну стойкую схему заражения с участием Neutrino; ее исполнители явно не собирались жертвовать привычными услугами в пользу RIG. Соответствующая malvertising-кампания проводилась на территории Южной Кореи и Тайваня, ее целью являлась раздача криптоблокера Cerber.

Вполне возможно, считает Kafeine, что Neutrino просто переведен в режим приватного использования, как это ныне наблюдается у Magnitude, весьма активного в азиатских странах. В пользу этого предположения говорит также перерыв в активности Neutrino в 2014 году, когда он, согласно Kafeine, исчез с интернет-арены в марте и вновь воспрял к декабрю.

Сентябрьский всплеск активности RIG зафиксировали также в Heimdal Security и в Центре SANS по сетевым угрозам. В частности, в конце прошлого месяца исследователи из ISC SANS обнаружили, что авторы наблюдаемой ими вредоносной кампании Afraidgate перешли с Neutrino на RIG. Целью эксплойта в рамках Afraidgate в настоящее время является засев новейшего варианта вымогателя Locky, который в ISC SANS именуют Odin (по новому расширению, присваиваемому зашифрованным файлам).

Категории: Аналитика, Вредоносные программы