ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Киберпреступники используют комплект эксплойтов Neptune во вредоносной кампании по распространению майнера. Об этом сообщают эксперты фирмы FireEye.

Neptune, также известный под именами Terror, Blaze и Eris, первоначально считался вариантом набора эксплойтов Sundown из-за сходства кода. С исчезновением таких наборов, как Angler и Neutrino, Sundown также снизил свою активность, уступив место RIG. Однако Neptune приобрел популярность, и он по-прежнему используется во вредоносных рекламных кампаниях, в частности тех, которые направлены на распространение криптовалютных майнеров.

Специалистами FireEye недавно были обнаружены несколько изменений в атаках Neptune, включая шаблоны URI, целевые страницы и вредоносную нагрузку. Злоумышленники используют легитимный сервис всплывающей рекламы для распространения вредоносной программы. Киберпреступники также маскируют свои сайты, меняя домен верхнего уровня с .com на .club (например, highspirittreks.com и highspirittreks.club). Один из таких вредоносных сайтов также имитирует конвертер видео YouTube в MP3. Обычно вредоносная реклама этой кампании находится на популярных торрент-сайтах. При попадании пользователя на один из таких сайтов, осуществляется попытка эксплуатации трех уязвимостей Internet Explorer и двух в Adobe Flash Player. Примечательно, что ни одна из эксплуатируемых уязвимостей не является новой, они все были раскрыты еще в 2014 - 2016 годах. Сам майнер нацелен на криптовалюту Monero, в настоящее время один Monero равен $86.

Страны и континенты, пострадавшие от этого вредоноса включают: Южную Корею (29%), Европу (19%), Таиланд (13%), Ближний Восток (13%) и Соединенные Штаты (10%). «Несмотря на то, что активность наборов эксплойтов в данный момент снижается, пользователи подвергают себя большому риску, если у них устаревшее или непроверенное программное обеспечение» - говорят специалисты FireEye.

https://www.anti-malware.ru/news/2017-08-23/23843