Набор эксплоитов Terror, обнаруженный в декабре 2016 года специалистами компаний Trustwave и Malwarebytes, отличается от своих «коллег по цеху». Судя по всему, за этой разработкой стоит не хакерская группа, а всего один человек. Это обстоятельство определенно сказалось на качестве разработки. Так, исследователи Trustwave шутят, что набор скорее стоило бы назвать Error.
Эксперты пишут, что Terror хостит целевые страницы и сами эксплоиты на одном сервере, и авторы малвари, как правило, так не поступают. Кроме того, Terror использует устаревшую технику «ковровой бомбардировки» (carpet bombing), атакуя всех пользователей, попавших на целевые страницы, всем арсеналом эксплоитов сразу. Как правило, серьезные эксплоит киты атакуют только уязвимых пользователей и задействуют для этого конкретные инструменты, которые эксплуатируют обнаруженные баги.
По данным Trustwave, в состав Terror исходно входили восемь эксплоитов, которые применялись одновременно:
- CVE-2014-6332 - Internet Explorer
- CVE-2016-0189 - Internet Explorer
- CVE-2015-5119 - Adobe Flash
- CVE-2015-5122 - Adobe Flash
- CVE-2013-1670/CVE-2013-1710 - Firefox
- CVE-2014-1510/CVE-2014-1511 - Firefox
- CVE-2014-8636 - Firefox
- CVE-2015-4495 - Firefox
Но в такой форме Terror проработал недолго. Исследователи пишут, что оператор эксплоит кита свернул работу Terror и переключился на эксплоит кит Sundown, которым занимался около недели. Затем он снова вернулся к Terror и создал новую версию: после проведенного теста ряд эксплоитов были позаимствованы у Sundown.
Hi #SundownEK, did you just forget obfuscate your exploits? pic.twitter.com/bVhS7AJpP3
— Henri Nurmi (@HenriNurmi) January 4, 2017
В это время, в начале января 2017 года, многие эксперты приняли Terror за новую вариацию Sundown, так как автор Terror скопировал изрядную часть кода конкурентов. Кроме того, разработчик забыл провести обфускацию, что смутило исследователей, и раскрыло данные еще о четырех эксплоитах:
- CVE-2013-2551 - Internet Explorer
- CVE-2014-6332 - Internet Explorer
- CVE-2015-7645 - Adobe Flash
- CVE-2016-4117 - Adobe Flash
Лишь одно не менялось в ходе всех описанных пертурбаций – эксплоит кит в итоге доставлял на машину жертвы... майнера криптовалюты Monero. Так как автор Terror явно не был профессионалом, специалисты без труда обнаружили, что конфигураторы для своего майнера он расположил на GitHub и Pastebin, откуда их не оставило труда удалить, подорвав кампанию злоумышленника.
«После месяца наблюдений за данным набором эксплоитов, мы всерьез подозреваем, что за этой операцией стоит один человек Майнинг криптовалюты не слишком прибыльное занятие, но для одиночки – это неплохое решение. После заражения хоста, и до тех пор, пока майнер на нем работает, вы в прибыли. И никаких проблем», — пишут исследователи Trustwave.