Java.com и TMZ содержат malware, перенаправляющий на эксплойт-пак Angler

Сеть онлайн-рекламы AppNexus снова была задействована в кампании вредоносной рекламы, использующей эксплойт-пак Angler, чтобы перенаправлять пользователей на сайты, содержащие зловред Asprox. По данным компании Fox-IT, популярные веб-сайты, такие как TMZ, Photobucket и Java.com, в последние дни показывали посетителям вредоносные баннеры, являющиеся частью кампании.

«Эти веб-сайты сами по себе не были скомпрометированы, но стали жертвами малвертайзинга. Это значит, что провайдер рекламы, действующий на небольшой части сайта, показывает вредоносные баннеры, нацеленные на заражение посетителей зловредами», — сообщила Fox-IT, добавив, что пик этих перенаправлений пришелся на период между 19 и 22 августа.

Angler входит в меню эксплойт-паков, продающихся на подпольных форумах и используемых в кампаниях для захвата веб-сайтов и перенаправления жертв на сайты, содержащие банковские зловреды и другое вредоносное ПО. В мае AppNexus показывала вредоносные баннеры, нацеленные на платформу Microsoft Silverlight. Сервис потокового кино и телевидения Netflix работает на основе Silverlight, и ввиду его популярности хакеры загружают паки вроде Angler эксплойтами к Silverlight.

Asprox представляет собой спам-ботнет, недавно доработанный для выполнения кликового мошенничества. Использующие его хакеры распространяли модифицированный зловред по многим векторам, включая приложения к письмам. «Apsrox прошел через много изменений и модификаций, включая спам-модули, модули сканирования веб-сайтов и даже модули, крадущие учетные данные, — сообщили в Fox-IT. — Эти факты и происходящие события показывают, что Asprox все еще активно разрабатывается и применяется».

«Все хосты эксплойт-паки, за которыми мы проследили, используют порт 37702. Работа эксплойт-китов на высоких портах мешает некоторым интернет-инструментам отслеживать HTTP-соединения, так как они обычно сконфигурированы для слежения только за HTTP-портами, — сказали в Fox-IT. — Это также значит, что эксплойт-кит блокируется во многих корпоративных сетях, так как в них запрещены соединения вне обычных HTTP-портов, порта 80 (или прокси-порта и 443 для SSL)».