Журналисты Softpedia предупреждают о новой вымогательской кампании с использованием эксплойт-пака Neutrino и редиректов на взломанных WordPress-сайтах. На сей раз в результате эксплуатации на машину жертвы загружается блокер Teslacrypt, шифрующий в основном файлы геймеров. Новую атаку обнаружили исследователи из датской компании Heimdal Security, обособившейся от CSIS Security Group полтора года назад.

По свидетельству экспертов, в качестве редиректоров атакующие преимущественно используют сайты с устаревшей версией WordPress или уязвимые плагины для этой CMS-платформы. Heimdal отмечает, что последнюю ныне используют более 142 млн сайтов в Интернете, причем пятая их часть работает на утративших актуальность версиях WordPress. Работающие на WordPress блоги на настоящий момент ежемесячно читают свыше 409 млн пользователей, посему число потенциальных жертв текущей вредоносной кампании может быть очень высоко.

При отработке скрипты, внедренные злоумышленниками на скомпрометированные сайты, отсылают посетителя в основной домен-редиректор в TLD-зоне .com, из которого осуществляется перенаправление на эксплойт-площадки Neutrino. В текущих атаках замечены эксплойты для новейших уязвимостей в Adobe Flash Player, Adobe Reader/Acrobat и Internet Explorer; по словам исследователей, зловреды плохо детектируются ввиду многослойной обфускации, используемой авторами Neutrino.

В ходе тестирования был выявлен один из эксплойт-сайтов, зарегистрированный в национальном домене Республики Мали и размещенный на голландском сервере, уже известном своей связью с Neutrino. Образец Teslacrypt, загруженный в результате эксплойта, не только шифровал файлы на зараженном компьютере, но также уничтожил теневые копии на локальном диске во избежание их использования для восстановления и добрался до других файлов в совместно используемой сети. В заключение криптоблокер загрузил из польского домена похитителя информации семейства Pony.

Напомним, аналогичная схема недавно использовалась для доставки другого опасного вымогателя, CryptoWall 3.0. О повышенной активности Neutrino, одного из основных современных конкурентов Angler, в начале сентября предупредил Брэд Дункан (Brad Duncan), постоянный блогер ISC SANS.

Категории: Вредоносные программы, Главное, Уязвимости, Хакеры