Как и следовало ожидать, один из самых популярных эксплойт-паков — Angler не замедлил включиться в процесс обновления шифровальщика Cryptowall.
Новую drive-by-кампанию уже несколько дней наблюдают исследователи из Heimdal Security. По их словам, атаку начинает похититель паролей Pony, который после запуска собирает и отправляет на C&C-сервер все возможные учетные данные жертвы.
«Целью этих действий является использование легитимных идентификаторов для получения доступа к серверам и CMS-платформам веб-сайтов и внедрения вредоносного скрипта, с тем чтобы максимально расширить текущую кампанию», — пояснила представитель Heimdal Андра Захария (Andra Zaharia). В результате выполнения сценария жертва перенаправляется на площадку с эксплойтами Angler. При наличии эксплуатируемой уязвимости в систему устанавливается целевой зловред — Cryptowall 4.0.
Новейшая версия вымогателя объявилась itw около месяца назад. Cryptowall 4.0 шифрует не только файлы жертвы, но также их имена, что сильно снижает шансы на восстановление файлов без выкупа. По свидетельству Захарии, все шесть C&C-серверов, используемых в новых Angler-атаках, размещены у одного и того же украинского хостинг-провайдера.
Вредоносный скрипт-редиректор был обнаружен на 100+ веб-страниц, размещенных на датских ресурсах, однако данная кампания не ограничивается европейским регионом. За сутки Heimdal заблокировала свыше 200 новых доменов, используемых для раздачи Cryptowall 4.0 посредством эксплойта.
Напомним, на прошлой неделе в блоге ISC SANS появилась запись о первых случаях использования эксплойт-паков для распространения Cryptowall 4.0. Исследователь Брэд Дункан (Brad Duncan) на тот момент писал о Nuclear, уличенном в доставке новейшей версии криптоблокера. Блогер также предупредил, что к новой схеме распространения Cryptowall 4.0 могут быть подключены и другие наборы эксплойтов. Новая находка Heimdal показывает, что это предположение было верным.
