Исследователи из Zscaler заявили, что за резким скачком объемов трафика, связанного с эксплойт-паком Neutrino, стоит множество скомпрометированных веб-сайтов на базе WordPress.

В отчете Zscaler говорится, что эксперты зарегистрировали ряд атак на сайты, использующие устаревшие версии системы управления контентом (4.2 и более ранние). Эти сайты были скомпрометированы и теперь: используя iFrame, они перенаправляют жертв на лендинг-страницу, содержащую Flash-эксплойт.

По заявлениям специалистов Zscaler, эксплойты нацелены в основном на Internet Explorer, а конечной целью является заражение компьютера жертвы зловредом-блокером CryptoWall 3.0.

Эти наблюдения схожи с теми, что содержатся в отчете института SANS, в котором говорится о группировке, отказавшейся от использования популярного пака Angler в пользу Neutrino.

Исследователи из обеих организаций заявляют, что основным IP-адресом для лендинг-страницы Neutrino является 185[.]44[.]105[.]7, зарегистрированный на имя некоего Макса Влапета (Max Vlapet) из Москвы.

Исследователи из Zscaler заявили, что зафиксировали более 2,6 тыс. уникальных WP-сайтов, связанных с активностью Neutrino, на которых размещено более 4 тыс. зараженных страниц.

«Целью этой кампании является полная компрометация сайтов, которая включает создание веб-шелла, сбор учетных данных и под конец внедрение iFrame, который загружает лендинг-страницу Neutrino, — пишут Джон Манкусо (John Mancuso) и Дипен Десаи (Deepen Desai) из Zscaler. — iFrame внедряется на скомпрометированный сайт сразу за тэгом BODY и крайне схож с образцами, связанными с Angler».

По словам экспертов, пользователям, которые используют браузеры, отличные от IE, iFrame не раздается, при этом куки используются таким образом, чтобы исключить случаи, когда одному и тому же пользователю iFrame раздается раз за разом.

Эксперты Zscaler поделились информацией о Flash-эксплойте, используемом в рамках этой кампании, отметив, что ИБ-компании достаточно плохо справились с его детектированием. Нагрузкой является CryptoWall 3.0 — новейшая версия блокера, который этим летом практически эксклюзивно раздавался через эксплойт-паки, в особенности через Angler. Хотя ранее этим летом CryptoWall раздавался и в рамках некоторых спам-кампаний.

Как и другие блокеры, CryptoWall 3.0 шифрует файлы, хранящиеся на скомпрометированном компьютере, и требует уплатить выкуп за их расшифровку, обычно около $500 в Bitcoin. Зловред использует ряд каналов для поддержания связи со злоумышленниками и передачи украденных данных, включая I2P и сеть Tor.

Судя по всему, Neutrino сейчас набирает популярность на фоне других эксплойт-паков. Angler остается наиболее опасным паком, в силу того что его авторы регулярно добавляют в его арсенал эксплойты новейших уязвимостей нулевого дня. За нынешней активностью Neutrino может стоять ряд факторов: например, злоумышленник не смог приобрести Angler из-за запрета его разработчиков или же из-за его высокой цены, либо же это просто проверка возможностей этого пака.

«Если считать данный скачок активности пака показательным, то в будущем мы можем увидеть увеличение числа скомпрометированных сайтов, раздающих Neutrino, при этом будет заметно снижение объемов трафика, связанного с Angler, — пишет Брэд Дункан (Brad Duncan), исследователь из Rackspace и постоянный корреспондент ISC SANS. — Однако злоумышленники, использующие эти паки, известны тем, что крайне быстро меняют свои тактики, и ситуация может измениться к тому моменту, как вы закончите читать этот текст».

WordPress остается одной из излюбленных мишеней хакеров. Зачастую атакующие находят и используют уязвимости в плагинах и расширениях системы управления контентом, однако бывали и случаи, когда атаке подвергались бреши в ядре движка WordPress.

«Компрометация WordPress-сайтов случалась и раньше, однако данная кампания интересна тем, что в ее рамках использовались WP-сайты, скомпрометированные через бэкдор, эксплойт-пак Neutrino и весьма эффективный зловред CryptoWall, — заявили эксперты из Zscaler. — Этот случай также показывает, что Neutrino по-прежнему активен и остается одним из ключевых эксплойт-паков».

Категории: Вредоносные программы, Уязвимости