В новой вредоносной кампании используется набор эксплоитов Angler


Trustwave-SpuderLabsИсследователи из Trustwave выявили новую вредоносную кампанию, в рамках которой злоумышленники накручивают количество просмотров пророссийских пропагандистских видеороликов. Для реализации своих замыслов они применяют известный набор эксплоитов Angler, заражающего системы трояном Bedep.

Эксперты выяснили, что вредоносное ПО заставляло инфицированную машину посещать сайты для генерирования дохода от размещенной на них рекламы и мошеннического трафика. "Накрутка" просмотров подобным образом, по сути, не является чем-то новым, однако использование таких атак в целях политической пропаганды - это новшество.

Темой роликов является конфликт в Украине и введенные западными странами санкций в отношении России. Количество просмотров для каждого клипа практически одинаково и составляет порядка 320 тыс., при этом комментарии к видео отсутствуют. Кроме того, данными роликами никто делится в соцсетях или блогах. Подозрительным экспертам показалось то, что количество просмотров для всех роликов практически одинаково.

Атака начинается с посещения пользователем скомпрометированного сайта, который предлагает помощь туристам. Встроенный в веб-ресурс фрейм направляет жертву на набор эксплоитов Angler, который определяет наличие антивирусных продуктов, после чего загружает троян Bedep.

Некоторые сайты, на которые направляется жертва, с виду не вызывают никаких подозрений. Однако, все они зарегистрированы киберпреступниками и скрывают большой объем рекламы, который сформирован таким образом, чтобы привлекать максимум трафика.

Ранее подобную технику использовали операторы ботнета TDSS, только с той разницей, что использовался другой способ маскировки вредоносной активности. Bedep создает скрытый виртуальный рабочий стол, на котором размещается невидимое окно Internet Explorer COM, функционирующее, как полнофункциональный IE.

Кроме того, экспертами также были обнаружены инфицированные системы, перенаправляемые подконтрольным злоумышленникам C&C-сервером на наборы эксплоитов Magnitude и Neutrino. Таким образом, киберпреступники пытались подзаработать на участии и в других вредоносных кампаниях.


Обновлено (30.04.2015 20:25)