Наборы эксплоитов (эксплоит-паки) остаются основным средством распространения вредоносных программ. В этом году в ряду эксплоит-паков произошло пополнение, появились новички. Антивирусная компания F-Secure рассказывает о двух из них: Archie и Astrum.

Телеметрия показывает, что набор эксплоитов Archie вышел на рынок в начале июля и с тех пор остаётся активным. В августе специалисты проанализировали его и выяснили, что он использует эксплоит-модули, скопированные из Metasploit Framework.

На графике показано, какие конкретно уязвимости добавляли авторы в набор Archie с течением времени.

003

Archie постепенно эволюционировал. В последних версиях появилась проверка на антивирусы и VMware перед заражением. Реализовано шифрование URL’ов и названий файлов.

Ниже приведён список IP-адресов, откуда происходила загрузка набора эксплоитов.

004

Ещё один новый представитель в семействе эксплоит-паков — это Astrum, который впервые заметили в сентябре 2014 года.

На графике показано, какие уязвимости добавлены в набор Astrum.

005

В отличие от конкурента, Astrum использует сильную обфускацию целевой страницы. Astrum проверяет компьютер на наличие различных антивирусов и программ виртуализации, и даже на плагин от «Касперского».

006

Кроме Archie и Astrum, компания F-Secure перечисляет и другие наборы эксплоитов, которые появились в этом году: Rig, Null Hole и Niteris (CottonCastle). Одновременно растёт активность эксплоит-паков Angler, Nuclear, Neutrino, FlashEK, Fiesta, SweetOrange и др.



Оставить мнение