В состав эксплот кита Sundown входят эксплоиты, взятые из других наборов

В состав эксплот кита Sundown входят эксплоиты, взятые из других наборов

Эксперты компании Trustwave SpiderLabs изучили эксплоит кит Sundown, впервые обнаруженный специалистами еще в 2015 году. После исчезновения с «рынка» лидеров данной области, эксплоит китов Angler и Nuclear, авторы Sundown начали активно развивать свою разработку, очевидно, стремясь занять освободившуюся нишу.

Однако аналитики Trustwave SpiderLabs пишут, что на самом деле Sundown попросту ворует чужие эксплоиты, а лидирующие позиции в этой сфере по-прежнему занимают наборы Neutrino и RIG.

Подозрительную активность авторов Sundown первыми заметили специалисты компании Zscaler. В июне 2016 года Sundown вдруг начал обновляться, хотя раньше разработчики явно не стремились поддерживать актуальность своего «продукта». Так как активность началась после исчезновения эксплоит китов Angler и Nuclear, исследователи сделали вывод, что злоумышленники пытаются воспользоваться ситуацией и обратить неприятности конкурентов себе на пользу.

Напомню, что деятельность Angler была прекращена в связи с арестом участников хакерской группы Lurk, о деятельности которой недавно детально рассказали представители «Лаборатории Касперского». Разработчика Nuclear, в свою очередь, напугали исследователи компании Check Point, которые сумели детально изучить инфраструктуру всего сервиса, а затем написать об этом развернутый отчет. Специалисты также сумели идентифицировать автора эксплоит кита, сообщив, что это россиянин, проживающий в Краснодаре и зарабатывающий на своем детище порядка 100 000 долларов в месяц. Через несколько дней после выхода отчета Nuclear свернул все свои операции, пишет xakep.ru.

Специалисты Trustwave SpiderLabs, изучившие обновленный Sundown более внимательно, тоже полагают, что разработчики Sundown решили воспользоваться ситуацией. Более того, оказалось, что создатели эксплоит кита решили пойти по пути наименьшего сопротивления. Так, кодинг панели и DGA (Domain Generation Algorithm) были отдан на аутсорс группировке Yugoslavian Business Network, а все новые эксплоиты в составе набора оказались попросту украдены у конкурентов, разрабатывающих другие эксплоит киты.

Специалисты Trustwave SpiderLabs сообщают, что теперь в состав Sundown входят эксплоиты «позаимствованные» у Angler (для бага в IE: CVE-2015-2419), RIG (для бага в Silverlight: CVE-2016-0034), эксплоит из набора, похищенного у Hacking Team (для бага во Flash: CVE-2015-5119), а также эксплоит из Magnitude (для бага во Flash: CVE-2016-4117).

Совершено очевидно, что подобная тактика работает не слишком хорошо. Если авторы Sundown действительно хотят составить конкуренцию разработчикам других наборов, им придется обзавестись более внушительным арсеналом и начать писать эксплоиты самостоятельно.

Так, согласно данным Zscaler, наиболее опасными и популярными наборами эксплоитов по-прежнему являются Neutrino и RIG. Статистика, собранная за минувшее лето гласит, что Neutrino в основном занимается распространением дроппера малвари Gamarue, трояна Tofsee, а также вымогателей CryptXXX и CripMIC. RIG, в свою очередь, занимается доставкой трояна Tofsee, шифровальщика Cerber, а также банковских троянов Gootkit и Vawtrack. С большим отставанием этот список топовых эксплоит китов замыкают Magnitude, распространяющий вымогателя Cerber, и Sundown, который, по данным экспертов, этим летом в основном распространял бэкдор Kasidet.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

В новой кампании sextortion-мошенничества фигурирует вымогатель GandCrab

Вид кибермошенничества, получивший имя «sextortion», вышел на новый уровень — теперь киберпреступники стремятся заразить своих жертв вымогателем GandCrab, а также трояном Azorult, способным похищать информацию.

Sextortion осуществляется с помощью электронной почты — пользователю приходит письмо, в котором злоумышленник утверждает, что получил доступ к его компьютеру, а также записал видео во время посещения сайтов для взрослых.

Такие письма иногда даже содержат пароли пользователя, которые якобы удалось похитить в ходе взлома. Это придает заявлениям мошенника больший вес.

Обычно преступники просят перевести криптовалюту (чаще всего биткоин) на их счет, иначе они опубликуют записанное видео. На самом же деле, никакого видео не существует в природе, это обычный блеф с целью вымогательства.

О новой кампании sextortion рассказали эксперты Proofpoint — вместо требования заплатить биткоины злоумышленники призывают загрузить видео с жертвой в главной роли. По ссылке находится ZIP-архив, в котором содержится исполняемый файл. При запуске этого файла на компьютер пользователя устанавливается вредоносная программа.

«Нам удалось зафиксировать ряд вредоносных писем, в которых содержались ссылки на загрузку трояна AZORult, который позже загружал на компьютер вымогатель GandCrab», — говорится в отчете Proofpoint.

По мнению экспертов, такая тактика даже опаснее — пользователь, испугавшись, захочет проверить наличие такого видео, что выльется в заражение компьютера трояном. Сам Azorult сначала похитит такую информацию, как учетные данные для входа в систему, файлы cookies и многое другое.

После этого он загрузит в систему GandCrab, а вымогатель зашифрует данные на компьютере.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru