Злоумышленники распространяют вымогателя CryptXXX через взломанные веб-сайты


CryptXXXИсследователи из компании Invincea зафиксировали новую вредоносную кампанию, распространяющую вымогателя CryptXXX. Для распространения использовались скомпрометированные с помощью ботнета SoakSoak web-сайты. В число пострадавших ресурсов входят:

  • туристические порталы;
  • сайты строительных фирм;
  • сайты ИБ-компании.


Взломанные сайты использовались для перенаправления пользователей на вредоносные ресурсы, содержащие набор эксплойтов Neutrino. Именно данный набор и позволял распространять вымогателя CryptXXX.

Устройство жертвы сканировалось на наличие следующих решений:

  • VMWare;
  • Wireshark;
  • ESET;
  • Fiddler;
  • утилиты отладки Flash Player.


В случае отсутствия данных программ с C&C-сервера загружался CryptXXX.

Оказавшись на системе, CryptXXX шифровал файлы пользователей и требовал выкуп в размере $500. Для компрометации сайтов злоумышленники эксплуатировали уязвимости в плагинах WordPress или CMS WordPress.

Напомним, в 2011 году компания Google внесла в "черный список" более 11 тысяч доменов, затронутых вредоносной кампаний SoakSoak. Примечательно то, что все инфицированные интернет-ресурсы работали под управлением CMS WordPress.


Обновлено (27.08.2016 14:43)