Арсений Левин из Spiderlabs сообщил о появлении нового набора эксплойтов, особенностью которого является API для генерации URL управляющих серверов каждый час. У программы нет официального названия, так что Левин выбрал RedKit за красную цветовую схему. Генерация свежих URL каждый час чрезвычайно затрудняет блокировку заражённых сайтов, и это означает, что разработчики RedKit инвестировали хорошую сумму денег в постоянную регистрацию доменов.
В данный момент RedKit использует всего две известные и пропатченные уязвимости: CVE-2010-0188 и CVE-2012-0507. В первом случае обфусцированный файл PDF эксплуатирует уязвимость в LibTIFF, а вторая — пресловутая уязвимость в AtomicReferenceArray (Java), та же самая, которую использует троян Flashback. Арсений Левин уверен, что авторы эксплойт-кита со временем добавят туда новые эксплойты, если они хотят конкурировать с лидерами на этом рынке Blackhole и Phoenix.
Ещё одна интересная функцией RedKit — возможность загрузки исполняемого файла и проверки его против 37 различных антивирусов.
Исследователи из Spiderlabs обнаружили рекламный баннер RedKit на одном из взломанных религиозных сайтов. При переходе по рекламе, потенциальный покупатель должен ввести своё имя пользователя jabber, так что разработчики RedKit могут выбрать, кому продавать свой продукт, и сами свяжутся с покупателем.
Ниже — скриншот из официальных условий пользования продуктом.
