Компания Malwarebytes обнаружила группировку Malsmoke, чья вредоносная реклама проникла практически во все рекламные сети, сотрудничающие с сайтами для взрослых.
В основном хакеры внедряли свою рекламу на порносайты, и объявления перенаправляли жертв на вредоносные сайты, где размещались наборы эксплоитов Fallout и RIG. Как правило, злоумышленники действовали через небольшие сайты, однако в итоге сорвали настоящий джек-пот и разместили свою рекламу даже на портале xHamster, одном из крупнейших порносайтов в мире, который привлекает миллиарды посетителей ежемесячно.
Исследователи отмечают, что наборы эксплоитов в основном использовали различные уязвимости в Adobe Flash Player и Internet Explorer (например, CVE-2019-0752 и CVE-2018-15982) и таким образом устанавливали на машины жертв различные полезные нагрузки, включая Smoke Loader, Raccoon Stealer и ZLoader.
Напомню, что ИБ-эксперты пишут о значительном снижении популярности наборов эксплоитов с 2018 года. Дело в том, что использовать их становится все сложнее, ведь современные браузеры уже не так просто скомпрометировать, особенно после массового отказа от Flash и медленной смерти IE. Однако хакеров это не останавливает.
«Несмотря на рекомендации Microsoft и специалистов по безопасности, мы можем наблюдать, что ряд пользователей (как домашних, так и корпоративных) во всем мире до сих пор не перешли на современный и полностью поддерживаемый браузер, — резюмируют специалисты Malwarebytes в своем отчете. — В результате авторы эксплоит-китов выживают последние капли из уязвимостей в Internet Explorer и Flash Player».