Специалисты ИБ-компании Fox-IT зафиксировали масштабную вредоносную кампанию, исходящую со всех рекламных сервисов Google, перепроданных с болгарского портала engagelab.com. Перенаправление на web-сайты, содержащие набор эксплоитов Nuclear, ведется через домен-посредник, что, по словам специалиста Fox-IT Маартена Ван Дантцига (Maarten van Dantzig), может свидетельствовать о компрометации рекламных сервисов на вышеуказанном ресурсе. Как отметил Ван Дантциг, Nuclear эксплуатирует уязвимости в программном обеспечении Adobe Flash, Oracle Java и Microsoft Silverlight.
В ходе кампании, которая началась вчера, 7 апреля, специалисты зафиксировали значительное количество случаев заражения и попыток инфицирования. При этом инфицирование происходит при помощи сайта-посредника, а IP-адреса доменов, содержащих набор эксплоитов, постоянно меняются. Специалистам удалось установить IP-адреса C&C-сервера злоумышлеников, а также еще трех web-сайтов, распространяющих Nuclear. Все полученные данные сотрудники Fox-IT передали Google. На момент написания новости новых случаев вредоносных перенаправлений зарегистрировано не было. (Google/NovostIT)