Утечка 0day-эксплойтов Flash от Hacking Team, которая произошла недавно, сильно увеличила эффективность эксплойт-паков. Среди «золотых мальчиков» оказались пользователи эксплойт-пака RIG, особенно один из них.
После утечки исходников RIG 2.0 автор RIG сильно постарался и выпустил значительно улучшенную версию RIG 3.0, включив туда последние эксплойты для Flash (CVE-2015-5119 и CVE-2015-5122). Компания Trustwave изучила, насколько эффективно работает RIG 3.0 и какие изменения произошли по сравнению с RIG 2.0.
Изменений несколько. В основном, это защитные меры. Похоже, автор отказался от работы с реселлерами, которые и стали причиной утечки кода. Теперь он работает с клиентами напрямую. Неавторизованные пользователи теперь не могут получить доступ к внутренним файлам на сервере бэкенда, а все файлы сейчас хранятся не в директории, а в базе данных. Для защиты от DDoS-атак автор эксплойт-пака воспользовался услугами известного провайдера Cloudflare.
Кроме того, значительно улучшен интерфейс элементов в клиентской панели.
Статистика показывает, что популярность RIG 3.0 не пострадала. Только у двух клиентов, чья статистика показана на скриншотах внизу, количество ботов составляет 1,25 млн! В среднем, им удавалось установить зловреды на 27 000 компьютеров в сутки.
Специалисты Trustwave отмечают интересный факт: на 70% зараженных машин устанавливается спам-бот Tofsee. Это самый крупный клиент RIG, и можно подсчитать его примерный заработок.
В месяц ему удается заражать примерно 500 тыс. компьютеров. Текущие расценки за рассылку спама составляют около $0,50 за 1000 писем. Как показывает опыт, один бот способен за сутки разослать примерно 2000 писем, после чего его IP-адрес попадает в черный список.
Теоретическая прибыль хакера за месяц составляет $500 тыс. Но Trustwave считает, что в реальности будет работать около 200 тыс. машин, а с учётом накладных расходов на покупку трафика реальный доход неизвестного хакера — примерно $60-100 тыс. в месяц. В принципе, на жизнь хватит.
Trustwave также рассказывает, где конкретно можно купить трафик и по какой цене. Один из популярных продавцов — buy-targeted-traffic.com.
Он размещает вредоносный контент на различных сайтах, в том числе на YouTube (см. последний скриншот от Google Safe Browsing).