Исследователи из компании Forcepoint обнаружили любопытную технику доставки вредоносного компонента банкера Buhtrap. Она основана на анализе поведения пользователя на сайте; атака направлена на пользователей Internet Explorer.

Вредоносный JavaScript-файл, внедренный в исходный код сайта, при проверке маскируется под легитимный плагин jQuery Animate Plugin v1.2. После полной загрузки страницы он начинает отслеживать действия пользователя и оценивает их по определенной шкале. Например, за клик «причитается» 16 баллов, за скроллинг — 11 баллов, передвижение курсора мышки — 1 балл.

Если общее количество баллов превышает 30, JavaScript загружает на страницу скрытый iframe. В нем содержится эксплойт, который пытается исполнить различные PowerShell-команды, чтобы воспользоваться уязвимостью CVE-2016-0189 в браузере Internet Explorer. В случае успеха на компьютере устанавливается банковский троянец Buhtrap.

Уязвимость CVE-2016-0189 в свое время использовалась в кибершпионских операциях против южнокорейских организаций. Код эксплойта был неосмотрительно опубликован исследователем как PoC на GitHub, откуда он перекочевал в эксплойт-пак Neutrino. Microsoft запатчила брешь в мае.

Категории: Аналитика, Вредоносные программы, Уязвимости