В наборах эксплоитов Nuclear и Angler появилась поддержка CVE-2015-0336

12 марта нынешнего года компания Adobe выпустила бюллетень безопасности APSB15-05, в котором были исправлены 11 уязвимостей в Flash Player. Как сообщили исследователи FireEye в блоге компании, уже 18 марта, через неделю после публикации исправлений, создатели набора эксплоитов Nuclear добавили в него возможность эксплуатации одной из брешей, позволяющей удаленно выполнить произвольный код (CVE-2015-0336). Еще через два дня, 20 марта, эксперты Trend Micro заявили о том, что аналогичный функционал появился в наборе эксплоитов Angler.

По данным Trend Micro, хакеры распространили набор эксплоитов через различные скомпрометированные web-сайты, включая японские ресурсы интимного характера. По состоянию на 20 марта нынешнего года одну из вредоносных страниц посетили более 8,7 тысяч раз, причем большинство жертв были из Японии. Для того чтобы исследователям было сложнее проанализировать эксплоит, хакеры запаковали его с помощью приложения secureSWF. Оно позволяет оптимизировать, шифровать и прочим образом защищать файлы SWF, которые используются в Adobe Flash.

«Файл Flash (SWF) содержит три слоя, — сообщили исследователи FireEye. – Внешний слой представляет собой обфусцированный упаковщик, единственной целью которого является скрыть эксплоит. SecureSWF использовался для обфускации по меньшей мере одного из первых двух слоев».

Отметим, что владельцы эксплойт-паков не впервые добавляют в наборы эксплоитов возможность эксплуатации ранее исправленных уязвимостей в Flash Player. Тем не менее, ранее это занимало у них гораздо больше времени.