Эксплойт-пак GreenFlash Sundown обновлен и снова в строю
После почти двухлетнего бездействия группировка ShadowGate обновила эксплойт-пак GreenFlash Sundown и вновь использует вредоносную рекламу для распространения мошеннического ПО.
Согласно данным Trend Micro, злоумышленники запустили кампанию в начале июня, и с тех пор она набрала обороты. По состоянию на 24 июня, почти 54% атак приходились на Японию, более 25% — на Италию, 4,5% — на Германию и 4% — на США.
Обновленный набор эксплойтов внедряет на компьютеры жертв криптомайнеры, шифровальщик SEON Ransomware и троян Pony. Эксперты заявляют, что в рамках этой кампании GreenFlash Sundown впервые с 2016 года демонстрирует высокую активность за пределами Азии. После того как ИБ-специалисты нейтрализовали глобальную malvertising-кампанию, злоумышленники из ShadowGate умерили свою активность и сосредоточились на Южной Корее.
В текущих атаках, как и в 2016 году, преступники заражают рекламные серверы для показа вредоносных объявлений на популярных веб-сайтах. В числе пострадавших ресурсов, в частности, оказался онлайн-сервис onlinevideoconverter[.]com с ежемесячной аудиторией более 200 млн человек.
С помощью GIF-изображения, содержащего обфусцированный JavaScript-код, мошенники перенаправляют посетителей скомпрометированного сайта на другой ресурс — fastimage[.]site. Оттуда еще один скрипт перенаправляет пользователя на adfast[.]site, где размещен GreenFlash Sundown. Эксплойт-пак использует уязвимости Adobe Flash Player для внедрения в систему PowerShell-загрузчика. Тот собирает информацию об атакуемой ОС и проверяет, не является ли она ханипотом или виртуальной машиной. Если система прошла проверку, загрузчик внедряет в нее шифровальщик SEON Ransomware, а затем — троян Pony и криптомайнер.
По мнению экспертов, лучший способ защититься от подобных атак — регулярно обновлять браузеры, ОС и такие программы, как Flash и Java. Эксплойт-паки часто используют известные уязвимости, для которых уже доступны исправления.
В последние годы готовые наборы эксплойтов используются все реже. Одним из наиболее активных сейчас вредоносных комплектов считается RIG, пришедший на смену Angler, Nuclear и Neutrino. В начале июня команда исследователей nao_sec обнаружила новую полезную нагрузку этого эксплойт-пака — Buran, ранее неизвестный вариант вымогателя Vega.
Источник: Threatpost
Читайте также:
Что повлияет на кибербезопасность ближайшего десятилетия?
За последние 10 лет киберпреступность перешла из узкой специализированной ниши в один из наиболее значительных стратегических рисков, стоящих сегодня перед всем миром. Развитию цифрового мошенничества во многом способствует стремительный технологический прогресс.
Владимир Путин рассказал о «цифровых» итогах саммита G20
Завершив участие в работе саммита Группы двадцати, президент РФ Владимир Путин ответил в минувшую субботу на вопросы журналистов, отметив основные направления, по которым удалось достичь требуемых договоренностей.