Windows-машины инфицируют при помощи эксплоитов Fiesta


Uyazvimost windowsИсследователи безопасности из компании Rackspace утверждают, что одна из хакерских группировок вновь использует набор эксплоитов Fiesta для инфицирования компьютеров под управлением ОС Windows.

Для затруднения обнаружения эксплоитов, злоумышленники решили применить сложную схему. Теперь для инфицирования устройства они решили использовать шлюз, пропускающий трафик со взломанных web-сайтов на вредоносный домен Fiesta EK. При этом все доменные шлюзы зарегистрированы китайским регистратором bizcn.com и привязаны к единственному IP-адресу.

Специалисты считают, что отследить вредоносный трафик со скомпрометированных группировкой интернет-ресурсов будет очень и очень не просто. Чаще всего, HTTP GET-запросы к доменному шлюзу возвращаются с ошибкой 404 Not Found. В некоторых случаях доменный шлюз может вообще не появиться в трафике.

Отмечено, что злоумышленники изредка меняют IP-адреса доменных шлюзов, каждый из которых соответствует скомпрометированному сайту. Теперь, после публикации списка уязвимых ресурсов, киберпреступникам, скорее всего, вновь придется изменить данные IP-адреса.


Обновлено (29.04.2015 19:53)