Эксплойты для недавно пропатченной уязвимости нулевого дня во Flash Player растиражированы в наборах Angler, Neutrino и Magnitude; они уже используются для доставки различных вымогателей, банкеров и троянца, крадущего учетные данные.

Французский исследователь, известный под ником Kafeine, уточнил для Threatpost, что эксплойт к CVE-2016-4117, вошедший в состав Neutrino, — работоспособный вариант, а в Magnitude он реализован не полностью. Kafeine также подтвердил, что аналогичным эксплойтом ныне оперирует Angler, загружая при этом банковского троянца Dridex.

По свидетельству исследователя, эксплойты Magnitude ориентированы на все версии Flash вплоть до 21.0.0.213, но они не отрабатывают, несмотря на то что уязвимый код указан верно. Не исключено, что при их реализации была допущена какая-то ошибка. Эксплойт из набора Neutrino полнофункционален и, судя по результатам VirusTotal, пока плохо детектится.

В своем комментарии Threatpost Kafeine также отметил, что при прогоне обновленного эксплойт-пака он зафиксировал такие целевые нагрузки, как CryptXXX, Cerber, DMA Locker и Gootkit. Последний используется преимущественно для кражи учетных данных онлайн-банкинга и примечателен тем, что загружается в память и не оставляет файлов на зараженной машине. Ранее для его доставки использовался Angler: в начале текущего года исследователи из Cyphort опубликовали отчет об одной из таких киберкампаний, использующей вредоносные баннеры-редиректоры и Bedep в качестве загрузчика.

Патч для 0-day-уязвимости во Flash (путаница типов данных) был в экстренном порядке выпущен 12 мая. Эту брешь накануне обнаружил исследователь из FireEye, особо отметивший наличие эксплойтов itw. Эти эксплойты были внедрены в документы Microsoft Office, выложенные на сайте злоумышленников и доступные через динамическую DNS-адресацию. Для заражения атакующие использовали как URL-спам, так и рассылку вредоносных вложений.

По данным FireEye, в этих ранних атаках применялись эксплойты для Flash версий 21.0.0.196 и выше. Заражение осуществлялось в несколько этапов: при отработке эксплойта запускался шелл-код, который загружал и исполнял другой шелл, а тот, в свою очередь, грузил и исполнял целевого зловреда, в то же время отображая пользователю маскировочный документ. В итоге на машине жертвы открывался бэкдор, и она начинала получать команды от атакующих.

Эксплойт-пак Magnitude в последнее время активно используется для доставки Cerber — вымогателя, умеющего требовать выкуп вслух. Так, в начале апреля исследователи из Proofpoint обнаружили, что для раздачи этого блокера Magnitude начал использовать CVE-2016-1019 во Flash — еще одну брешь нулевого дня в этом продукте, которую Adobe тоже пришлось латать вне графика. Тот же эксплойт в составе Nuclear использовался для доставки другого вымогателя — Locky.

В заключение стоит отметить, что активность Cerber сильно повысилась после того, как его распространители получили доступ к инфраструктуре Dridex, позволяющей проводить спам-рассылки.

Категории: Вредоносные программы, Главное, Уязвимости