Злоумышленники пытаются распространить различные вредоносные пейлоады при помощи усовершенствованной версии набора эксплоитов Nuclear. Об этом сообщил специалист Talos Security Intelligence and Research Group (подразделение в составе Cisco) Ник Биасини (Nick Biasini) в официальном блоге компании Cisco. Кроме того, похоже, что авторы обновленной версии Nuclear слишком усложнили ПО и оно не работает должным образом.
Биасини сообщил, что в усовершенствованном наборе Nuclear реализовано несколько функций, которые присутствуют в других инструментах для кибератак, наподобие Angler. В частности, Nuclear использует “затемнение домена” (Domain Shadowing) и технику промежуточных доменов, известную также как 302 cushioning (когда сервер выдает ошибку 302 с автоматическим перенаправлением), включенные в состав Angler.
Обычно злоумышленники используют собственные зарегистрированные доменные имена. Однако текущая вредоносная кампания активно использовала домены верхнего уровня. Такой подход предоставляет хакерам новые возможности и функционал. В отчете Talos также говорится о большом бизнесе и огромной популярности эксплоитов для Web среди хакеров. За последние 6 месяцев эта ниша черного рынка преобразилась и наполнилась новыми технологиями, такими как Nuclear. (Cisco/NovostIT)