Web-портал AskMen.com был скомпрометирован при помощи набора эксплоитов Nuclear

На прошлой неделе стало известно, что популярный web-портал AskMen.com был скомпрометирован. Компания Symantec обнаружила в ходе расследования, что пользователи перенаправлялись на вредоносные web-сайты, которые содержали наборы эксплоитов Nuclear и Rig. На сегодняшний день вредоносный код был удален с сайта и пользователи больше не находятся в опасности заражения компьютеров вредоносным ПО.

Набор эксплоитов Rig был обнаружен несколько месяцев назад. Он, в основном, использует уязвимости в Internet Explorer, Java, Adobe Flash и Silverlight. Если набору эксплоитов удалось успешно использовать любую из этих брешей, то вредоносная программа загружается на компьютер жертвы.

Для того чтобы осуществить нападение, злоумышленники внедряли вредоносный JavaScript в web-сайт. JavaScript, в свою очередь, генерировал случайные доменные имена на основе текущей даты, которые используются для установки связи с подконтрольными злоумышленникам web-сайтами. После того, как доменное имя регистрируется, код перенаправляет пользователей на набор эксплоитов Nuclear Exploit Kit или Rig Exploit Kit.

Когда пользователь переходит на вредоносную страницу, набор эксплоитов осуществляет проверку компьютера пользователя на наличие файла драйвера, связанного с определенным антивирусным программным продуктом. Для того чтобы избежать обнаружения, инструмент не выполняет коды эксплоитов, если на системе установлен файл "kl1.sys". Однако создатель набора эксплоитов забыл избавиться от "\", и вместо проверки правильного пути - "C: \ Windows \ System32 \ Drivers \ kl1.sys", он проверяет несуществующий путь "C: WINDOWSsystem32driverskl1. SYS". В результате, он никогда не найдет файл, который ищет, и будет всегда выполнять код эксплоитов.