Вредоносная кампания EITest активна на протяжении двух лет, и за это время ее организаторы неоднократно меняли способы распространения вредоносного ПО. Проанализировав майские атаки, исследователи ISC SANS заметили, что EITest вновь эволюционировала. По словам эксперта Брэда Данкана (Brad Duncan), если ранее вредоносные программы распространялись в наборе эксплоитов Angler, то сейчас для данных целей используется эксплоит-кит Neutrino.
Первые атаки в рамках кампании EITest были зафиксированы экспертами компании Malwarebytes в июле 2014 г. В ходе атак злоумышленники используют тысячи взломанных сайтов, на которые внедряют скрипт-редиректор на базе Flash для распространения различных вредоносов, в частности многофункционального бэкдора Gootkit. Во избежание попадания в черные списки атакующие используют бесплатные DNS-сервисы для регистрации поддоменов с целью создания “одноразовых” URL.
По словам Данкана, в настоящее время шлюзы Neutrino размещены в блоке 85.93.0.0/24. “В качестве TLD эти шлюзовые домены чаще всего используют .tk, однако на этой неделе мы зафиксировали использование доменов .co.uk”, – отметил исследователь. При помощи одного из скомпрометированных сайтов Данкан создал две цепи инфицирования. В обоих случаях применялась версия Adobe Flash Player 20.0.0.306, подверженная уязвимости CVE-2016-1019. Ее эксплуатация может привести к отказу в работе или позволить удаленное выполнение кода. Специалисты Palo Alto Networks также наблюдают за ходом кампании EITest. В марте нынешнего года исследователи заметили, что шлюз изредка меняет IP-адрес, TLD-зоны при этом остаются неизменными (.tk, .uk, .com). (Palo Alto/NovostIT)