Заражение систем происходит после посещения жертвой сайта JCPA посредством эксплуатации брешей в установленном ПО.
ИБ-эксперты обнаружили на сайте Иерусалимского центра по связям с общественностью (Jerusalem Center for Public Affairs, JCPA) вредоносный JavaScript-файл. По информации компании Cyphort, для внедрения вируса злоумышленники использовали эксплоит Sweet Orange.
Заражение систем происходит после посещения жертвой сайта JCPA посредством эксплуатации брешей в установленном ПО.
Злоумышленники уже довольно давно используют набор эксплоитов Sweet Orange, поэтому специалистам даже удалось установить два периода его наибольшей активности. Первый был зафиксирован в декабре 2012 года; тогда эксперты заявили, что набор эксплоитов может заменить даже известный BlackHole. Второй всплеск активности Sweet Orange был замечен в октябре 2013 года после ареста автора BlackHole.
Согласно информации Cyphort, для установки перехватывающего информацию трояна Qbot хакеры эксплуатировали уязвимости в Java и Internet Explorer. После инфицирования системы вирус встраивается в запущенные процессы, создает записи реестра для более длительной работы и начинает сбор системных данных. Полученная информация отправляется C&C-серверу, подконтрольному злоумышленникам.
После отправки данных вредонос отслеживает посещаемые сайты и собирает важную информацию, вводимую на порталах банков.