Набор эксплоитов Nuclear распространяется через рекламу Google


Fox-ITСпециалистами по безопасности из компании Fox-IT была зафиксирована масштабная вредоносная кампания, которая исходила со всех рекламных сервисов Google, перепроданных с болгарского портала engagelab.com.

Установлено, что перенаправление на web-сайты, которые содержат набор эксплоитов Nuclear, осуществляется через домен-посредник. Это может свидетельствовать лишь о компрометации рекламных сервисов на вышеуказанном ресурсе. Специалисты отметили, что Nuclear эксплуатирует уязвимости в программном обеспечении:

  • Adobe Flash;
  • Oracle Java;
  • Microsoft Silverlight.


В ходе кампании, начавшейся 7 апреля, специалистами было зафиксировано значительное количество случаев заражения и попыток инфицирования. При этом само инфицирование происходит при помощи сайта-посредника, а IP-адреса доменов, которые содержат набор эксплоитов, постоянно меняются.

Также специалистам удалось установить IP-адреса C&C-сервера злоумышленников, и еще трех web-сайтов, с которых распространялся Nuclear. Все полученные данные были переданы в компанию Google.


Обновлено (09.04.2015 04:26)