Исследуя цепочку перенаправления на эксплойты Nuclear, эксперты Malwarebytes обнаружили страницу ожидания, позаимствованную у CDN-провайдера CloudFlare. Эта поддельная заставка призвана прикрыть махинации с редиректами и проверку уязвимости визитера, а также удержать его от искушения прервать соединение из-за задержки загрузки.

Дело в том, что с сайта, используемого Nuclear как первичный редиректор, пользователь обычно направляется на сервер-посредник — этакий шлюз, который определяет уязвимость ОС и браузера посетителя и в зависимости от результатов перенаправляет его на страницу с конкретным эксплойтом (или возвращает ошибку). Процесс перенаправления и проверки данных потенциальной жертвы требует времени, поэтому некоторые пользователи, не желая ждать, просто закрывают вкладку в браузере. Поддельная страница ожидания с известным именем способна убедить таких «отказников» в том, что они переходят на легитимный сайт и есть смысл дождаться завершения загрузки.

Подлинник этой заставки обычно выводится посетителю в тех случаях, когда сайт-клиент CloudFlare работает в режиме усиленной защиты от DDoS — «I’m Under Attack Mode» (CloudFlare среди прочего предлагает и такую услугу). Режим «Под атакой» предполагает ряд дополнительных проверок при установлении первичного соединения с сайтом. Весь процесс занимает около 5 секунд и незаметен для легитимного пользователя, тот видит лишь подтверждение установки соединения с указанием времени задержки:

страница-заставка CloudFlare

Подделка всплыла в ходе очередной Nuclear-кампании, использующей вредоносную рекламу в качестве редиректоров. Имитацию, по свидетельству Malwarebytes, нетрудно распознать, так как на ней отсутствуют некоторые элементы, обязательные для оригинала, в частности имя сайта, на который совершается переход, и параметр Ray ID — генерируемая на лету строка случайных символов, уникальная для каждого пользователя и сайта (прописывается внизу страницы).

Более того, если посетитель использует браузерное расширение NoScript (блокировку автоматического исполнения скриптов), поддельное уведомление Nuclear просит его включить JavaScript и перезагрузить страницу, тогда как оригинал никогда не обращается к пользователям с такой просьбой.

Дальнейшая проверка показала, что IP-адрес сервера, отчетливо различимый на фальшивой странице, не принадлежит CloudFlare, равно как и домен, используемый Nuclear в качестве шлюза (при DDoS-атаке все DNS-запросы к клиентскому сайту пропускаются через инфраструктуру компании). Malwarebytes уже известила CloudFlare о своей находке, и специалисты провайдера с готовностью приняли участие в расследовании.

Напомним, в первой половине минувшего года Nuclear заметно уступал своему ближайшему конкуренту, Angler, однако к осени он активизировался и ныне участвует во всех актуальных схемах доставки зловредов, в первую очередь криптоблокеров.

Категории: Вредоносные программы