Malwarebytes pisze na swoim blogu, że właśnie zidentyfikował nowy zestaw exploitów, które hostowane są na malezyjskich i singapurskich serwerach, a ofiarami szkodliwego oprogramowania padają użytkownicy, którzy na skutek złośliwej ramki iframe przekierowywani są do niebezpiecznej witryny zawierającą bazodanową aplikację webową Exploit Kit.
Na Exploit Kit składają się gotowe zestawy exploitów oraz baza danych, w której zapisywane są statystyki z infekcji komputerów. Exploit Kit automatyzuje wykorzystywanie luk po stronie klienta zmuszając przeglądarkę do transparentnego pobrania (drive-by download) szkodliwego backdoora, spyware, trojana lub innego złośliwego oprogramowania. Ofiarą Exploit Kit’ów najczęściej padają popularne programy takie jak przeglądarki, programy od Adobe, Oracle i Microsoftu. Kluczową cechą Exploit Kit’ów jest łatwość ich obsługi, skorzystać z niego mogą osoby, które nie posiadają specjalistycznej wiedzy z zakresu programowania i bezpieczeństwa. Atakujący nie musi nawet wiedzieć jak stworzyć exploita, wystarczy, że skorzysta z udostępnionego i przyjaznego interfejsu graficznego, który pomaga w śledzeniu kampanii.
Ofiara, która odwiedzi zainfekowaną stronę internetową wywoła atak na system gospodarza, ale pod warunkiem, że atakowany komputer zabezpieczać będzie oprogramowanie antywirusowe od Qihoo – 360 Total Security lub 360 Total Security Essentials.
Hostowany na malezyjskich i singapurskich serwerach exploit kit automatycznie inicjuje atak drive-by download na komputerach z nieaktualnym oprogramowaniem – exploitowany jest głownie Internet Explorer (CVE-2014-6332), ale także Java (CVE-2011-3544 i CVE-2012-4681) oraz Flash (CVE-2014-1776?).
Po udanym ataku złośliwy payload pobiera na system gospodarza złośliwe oprogramowanie protokołem HTTP lub FTP – w zależności od wykrytej podatności.
- Malware: image.png (MD5: 55c447191d9566c7442e25c4caf0d2fe)
- Malware: pic.jpg (MD5: 4e8639378d7a302c7474b5e4406dd7b4)
- Malware: notepad.exe (MD5: 5a454c795eccf94bf6213fcc4ee65e6d)
Natomiast, jeśli na komputerze ofiary zostanie zidentyfikowany antywirus 360 Total Security lub 360 Total Security Essentials, exploit kit nie będzie wyzwalał szkodliwego ładunku.
Wybór atakowanych systemów nie był przypadkiem. System Windows XP trzyma się świetnie, szczególnie w krajach azjatyckich oraz w samych Chinach, gdzie niektóre badania szacują (Zhongguancun Online), że zdecydowana większość chińskich użytkowników komputerów PC (70%) nadal korzysta z systemu Windows XP oraz przeglądarki Internet Explorer.
