Эксплойт-пак GreenFlash Sundown обновлен и снова в строю

После почти двухлетнего бездействия группировка ShadowGate обновила эксплойт-пак GreenFlash Sundown и вновь использует вредоносную рекламу для распространения мошеннического ПО. Согласно данным Trend Micro, злоумышленники запустили кампанию в начале июня, и с тех пор она набрала обороты. По состоянию на 24 июня, почти 54% атак приходились на Японию, более 25% — на Италию, 4,5% — на Германию и 4% — на США.

Обновленный набор эксплойтов внедряет на компьютеры жертв криптомайнеры, шифровальщик SEON Ransomware и троян Pony. Эксперты заявляют, что в рамках этой кампании GreenFlash Sundown впервые с 2016 года демонстрирует высокую активность за пределами Азии. После того как ИБ-специалисты нейтрализовали глобальную malvertising-кампанию, злоумышленники из ShadowGate отказались от эксплойт-пака Neutrino в пользу только что появившегося GreenFlash Sundown, но при этом умерили свою активность и сосредоточились на Южной Корее.

В текущих атаках, как и в 2016 году, преступники заражают рекламные серверы для показа вредоносных объявлений на популярных веб-сайтах. В числе пострадавших ресурсов, в частности, оказался онлайн-сервис onlinevideoconverter[.]com с ежемесячной аудиторией более 200 млн человек.

С помощью GIF-изображения, содержащего обфусцированный JavaScript-код, мошенники перенаправляют посетителей скомпрометированного сайта на другой ресурс — fastimage[.]site. Оттуда еще один скрипт перенаправляет пользователя на adfast[.]site, где размещен GreenFlash Sundown. Эксплойт-пак использует уязвимости Adobe Flash Player для внедрения в систему PowerShell-загрузчика. Тот собирает информацию об атакуемой ОС и проверяет, не является ли она ханипотом или виртуальной машиной. Если система прошла проверку, загрузчик внедряет в нее шифровальщик SEON Ransomware, а затем — троян Pony и криптомайнер.

По мнению экспертов, лучший способ защититься от подобных атак — регулярно обновлять браузеры, ОС и такие программы, как Flash и Java. Эксплойт-паки часто используют известные уязвимости, для которых уже доступны исправления.

В последние годы готовые наборы эксплойтов используются все реже. Одним из наиболее активных сейчас вредоносных комплектов считается RIG, пришедший на смену Angler, Nuclear и Neutrino. В начале июня команда исследователей nao_sec обнаружила новую полезную нагрузку этого эксплойт-пака — Buran, ранее неизвестный вариант вымогателя Vega.

Источник: https://threatpost.ru/greenflash-sundown-delivering-seon-ransomware-pony-miner/33305/