Набор эксплоитов RIG используется для распространения вымогателя CrypMIC
В атаках применяется классический метод внедрения скрипта в страницы легитимных сайтов для перенаправления трафика на вредоносные ресурсы.
Аналитики компании Heimdal Security предупреждают о новой вредоносной рекламной кампании, в ходе которой злоумышленники используют набор экспоитов RIG для распростанения вымогательского ПО CrypMIC.
Согласно сотруднице Heimdal Security Андре Захариа (Andra Zaharia), в атаках применяется классический метод внедрения скрипта в страницы легитимных web-сайтов для перенаправления трафика на подконтрольные злоумышленникам ресурсы. На данных сайтах размещается набор эксплоитов RIG, который, в свою очередь, используется для заражения системы жертвы вымогательским ПО CrypMIC. Инфицирование происходит путем эксплуатации различных уязвимостей в плагине Adobe Flash Player.
Эксплоит CrypMIC сбрасывается во временную папку под произвольным имененем. Файл запускается с правами текущего пользователя (например, администратора) и сразу же связывается с C&C-сервером через TCP-порт 443.
По данным компании Digital Shadows, в настоящее время RIG остается одним из пяти активных эксплоит-паков на рынке, наряду с Neutrino, Magnitude, Sundown и менее известным Hunter.