12 марта нынешнего года компания Adobe выпустила бюллетень безопасности APSB15-05, в котором были исправлены 11 уязвимостей в Flash Player. Как сообщили исследователи FireEye в блоге компании, уже 18 марта, через неделю после публикации исправлений, создатели набора эксплоитов Nuclear добавили в него возможность эксплуатации одной из брешей, позволяющей удаленно выполнить произвольный код (CVE-2015-0336). Еще через два дня, 20 марта, эксперты Trend Micro заявили о том, что аналогичный функционал появился в наборе эксплоитов Angler.
По данным Trend Micro, киберпреступники распространили набор эксплоитов через различные скомпрометированные web-сайты, включая японские ресурсы интимного характера. По состоянию на 20 марта нынешнего года одну из вредоносных страниц посетили более 8,7 тыс. раз, причем большинство жертв были из Японии.
Для того чтобы исследователям было сложнее проанализировать эксплоит, злоумышленники запаковали его с помощью легитимного приложения secureSWF. Оно позволяет оптимизировать, шифровать и прочим образом защищать файлы SWF, которые используются в Adobe Flash.
“Файл Flash (SWF) содержит три слоя, – сообщили исследователи FireEye. – Внешний слой представляет собой обфусцированный упаковщик, единственной целью которого является скрыть эксплоит. SecureSWF использовался для обфускации по меньшей мере одного из первых двух слоев”. Отметим, что киберпреступники не впервые добавляют в наборы эксплоитов возможность эксплуатации ранее исправленных уязвимостей в Flash Player. Тем не менее, ранее это занимало у них гораздо больше времени. (Trend Micro/NovostIT)
