Набор эксплоитов Angler используется для «накрутки» просмотров пропагандистских видеороликов

image

Теги: набор эксплоитов, Angler, троян

Эксперты впервые зафиксировали использование вредоносной кампании подобного рода в целях пропаганды.  

Исследователи из Trustwave  сообщили  о весьма необычном способе применения известного набора эксплоитов  Angler , заражающего системы трояном Bedep. Дело в том, что, среди прочего, целью новой вредоносной кампании являлось увеличение количество просмотров пророссийских пропагандистских видеороликов.

По словам экспертов, вредоносное ПО заставляло инфицированную машину посещать сайты для генерирования дохода от размещенной на них рекламы и мошеннического трафика. «Накрутка» просмотров подобным образом не является чем-то новым, однако исследователи впервые зафиксировали использование таких атак в целях политической пропаганды.

Темой роликов является конфликт в Украине и введенные западными странами санкций в отношении России. Несмотря на большое количество просмотров (практически одинаковое для каждого клипа – порядка 320 тыс.), комментарии к видео отсутствуют. Кроме того, никто не поделился роликами в соцсетях или блогах. По словам эксперта Trustwave Рами Когана, схемы трафика почти одинаковы для каждого клипа.

Атака начинается, когда пользователь посещает скомпрометированный сайт, предлагающий помощь туристам. Встроенный фрейм направляет жертву на набор эксплоитов Angler, который определяет наличие антивирусных продуктов и используемых исследователями безопасности и нструментов, после чего загружает троян Bedep.

Некоторые сайты, на которые направляется жертва, на первый взгляд не вызывают подозрений, однако они зарегистрированы киберпреступниками и скрывают большой объем рекламы, сформированной таким образом, чтобы привлекать максимум трафика. Как сообщил Коган, подобную технику ранее использовали операторы ботнета TDSS. Разница заключается в способе маскировки вредоносной активности. Bedep создает скрытый виртуальный рабочий стол, на котором размещается невидимое окно Internet Explorer COM, функционирующее, как полнофункциональный IE.

Эксперты из Trustwave также обнаружили инфицированные системы, перенаправляемые подконтрольным злоумышленникам C&C-сервером на наборы эксплоитов Magnitude и Neutrino. По словам Когана, преступники пытались подзаработать, участвуя и в других вредоносных кампаниях.     

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.