Специалисты компании FireEye обратили внимание на появление новой разновидности Angler, одного из наиболее распространённых эксплойт-китов для Windows.

Он успешно обходит защиту последней версии разработанного Microsoft пакета EMET, эксплуатирует уязвимости во Flash и Silverlight и доставляет троян-вымогатель TeslaCrypt. EMET — это бесплатное приложение Microsoft. Оно сводит воедино все настройки безопасности Windows и может быть использовано в качестве дополнительного уровня защиты от вредоносных программ в дополнение к файрволлу и антивирусу. 

Исследователи заметили, что эксплоит кит Angler научился новому трюку. Когда малварь заражает сайты, работающие под управлением WordPress и Joomla, она маскируется под плагин с кнопками социальных сетей, чтобы не вызывать подозрений у администратора сайта.

Так как вредоноса, просочившегося на сайт, не заметит только самый ленивый админ, авторам Angler приходится придумывать новые методы усыпления бдительности жертв. Angler часто заражает сайты, работающие на базе популярных CMS, что совсем неудивительно – в их случае куда проще найти незакрытую уязвимость.

Десятки тысяч пользователей могли стать жертвами вымогательских или других вредоносных программ после появления определенных рекламных объявлений на популярных сайтах.

Вредоносная реклама связана с серверами, распространяющими наборы эксплоитов Angler. В ходе кампании злоумышленники распространяют бэкдор под названием BEDEP, позволяющий загружать на компьютер другое вредоносное ПО. Исследователи Trustwave наблюдали в некоторых случаях распространение вредоносами бэкдора BEDEP и вымогательского ПО TeslaCrypt.

Методика распространения малвари через рекламные сети не нова. Однако пострадать от таких атак могут не только пользователи браузеров. Специалисты обнаружили вредоносную рекламную кампанию, поразившую пользователей Skype.

Исследователи уже неоднократно отмечали, что вредоносная реклама может атаковать не только браузеры, но вообще любые приложения, которые отображают рекламу. Данная проблема хорошо знакома пользователям устройств на базе Android, где малварь, заразив устройство, очень часто выводит баннеры.

В августе 2015 года вредоносная реклама уже поражала MSN.com, наряду с сайтами Weather.com, Wunderground и The Drudge Report. Тогда малварь распространялась через рекламную сеть AdSpirit и заражала посетителей Angler.

Компания Malwarebytes предупреждает, что вредоносная реклама вновь просочилась на портал MSN, только теперь она распространяет другую заразу. Главный ИБ-исследователь Malwarebytes Джером Сегура пишет, что злоумышленники вновь использовали для атаки платформу AdSpirit, разместив нехорошую рекламу на главной странице MSN.com.

Как и следовало ожидать, один из самых популярных эксплойт-паков — Angler не замедлил включиться в процесс обновления шифровальщика Cryptowall. Новую drive-by-кампанию уже несколько дней наблюдают исследователи.

По их словам, атаку начинает похититель паролей Pony, который после запуска собирает и отправляет на C&C-сервер все возможные учетные данные жертвы. Новейшая версия вымогателя объявилась itw около месяца назад. Cryptowall 4.0 шифрует не только файлы жертвы, но также их имена, что сильно снижает шансы на восстановление файлов без выкупа.