Авторы эксплоит-кита Sundown взяли на вооружение технику стеганографии

В 2016 году рынок наборов эксплоитов претерпел существенные изменения. Прежде всего, исчезли крупные игроки - Nuclear и Angler. Снижение активности первого эксперты начали наблюдать в мае. После того, как российские правоохранители арестовали участников хакерской группировки Lurk в июне нынешнего года, из поля зрения пропал и набор эксплоитов Angler. В настоящее время наиболее активными на рынке являются эксплоит-паки RIG и Sundown.

В конце декабря текущего года специалисты компании Trend Micro обнаружили новую версию Sundown, использующую технику стеганографии для сокрытия кодов эксплоитов. Обновленный набор эксплоитов применялся в ряде рекламных кампаний по распространению вредоносного ПО. Наибольшее число жертв было зафиксировано в Японии (33,41% случаев инфицирования), Канаде (10,12%) и Франции (8,77%).

Как выяснили эксперты, вредоносный рекламный баннер, распространяемый Sundown, создает скрытый плавающий фрейм, автоматически подключающийся к целевой странице Sundown, которая загружает PNG-файл. Затем данные в файле расшифровываются для извлечения дополнительного вредоносного кода (банковский троян Chthonic). Файл включает ряд эксплоитов, предназначенных для эксплуатации уязвимостей в браузере Internet Explorer (CVE-2016-0189, CVE-2015-2419, CVE-2016-4117). В числе прочих, набор Sundown также содержит эксплоиты для уязвимостей в Adobe Flash и JavaScript, отметили исследователи Trend Micro.