Злоумышленники скомпрометировали большое число web-сайтов с помощью ботнета SoakSoak и использовали их для распространения вредоносного ПО CryptXXX. В число пострадавших ресурсов входят туристические порталы, сайты строительных фирм и даже ИБ-компании, сообщают ИБ-исследователи Invincea.
Операторы SoakSoak использовали сайты для перенаправления пользователей на вредоносные ресурсы, содержащие набор эксплойтов Neutrino, используемого для расспространения вымогателя CryptXXX. Устройство жертвы сканировалось на наличие решений VMWare, Wireshark, ESET, Fiddler или утилиты отладки Flash Player. В случае отсутствия данных программ с C&C-сервера загружался CryptXXX. Оказавшись на системе, CryptXXX шифровал файлы пользователей и требовал выкуп в размере $500. Для компрометации сайтов злоумышленники эксплуатировали уязвимость в плагинах WordPress или CMS WordPress. Напомним, в 2011 г. Google внесла в “черный список” более 11 тыс. доменов, затронутых вредоносной кампаний SoakSoak. Все инфицированные интернет-ресурсы работали под управлением CMS WordPress. (Invincea/NovostIT)