Исходные тексты набора эксплойтов RIG exploit kit утекли в сеть

Исходные тексты набора эксплойтов RIG exploit kit попали в сеть. Как и в случае с другими ^[1] подобными утечками ^[2] исходных текстов вредоносных программ, они были выставлены на продажу ^[3] на одном из подпольных хакерских форумов, после чего оказались в открытом доступе. Наборы эксплойтов представляют из себя специальные инструменты злоумышленников, которые используются для автоматической установки вредоносных программ на компьютеры пользователей через эксплойты к браузерам или плагинов для них.

Исходные тексты набора эксплойтов RIG exploit kit утекли в сеть - 1

Исходные тексты набора эксплойтов RIG exploit kit утекли в сеть - 2
Рис. Дерево исходных текстов RIG EK.

Собственно, сам «набор эксплойтов» представляет из себя специальную панель управления на php, которая организует систему управления существующими эксплойтами, статистику их использования и обеспечивает хостинг ^[4] вредоносных программ, которые будут скачаны на компьютер пользователя и установлены там. К его заявленным разработчиками особенностям относится нормальное функционирование (заражение) как 32-битных, так и 64-битных Windows, обход User Account Control (UAC) в эксплойтах, домены, используемые эксплойтами могут меняться, в зависимости от их обнаружения AV-сканерами.

Версия 2.0 имеет в своем арсенале следующие эксплойты:

CVE-2012-0507 (Java)
CVE-2013-0074 (Silverlight)
CVE-2013-2465 (Java)
CVE-2013-2551 (Internet Explorer 7-8-9)
CVE-2013-0322 (Internet Explorer 10)
CVE-2014-0497 (Flash Player)
CVE-2014-0311 (Flash Player)

Исходные тексты набора эксплойтов RIG exploit kit утекли в сеть - 3
Рис. Функция RIG EK из файла wwwmanagep_exploits.php, которая отвечает за фиксирование статистики использования эксплойтов.

Обильное присутствие комментариев на русском языке в исходных текстах недвусмысленно намекает на происхождение RIG EK.

Исходные тексты набора эксплойтов RIG exploit kit утекли в сеть - 4

Утечка исходных текстов RIG EK может повлечь за собой его использование другими злоумышленниками, а также появление новых его модификаций с адаптацией на доставку вредоносного ПО через более современные эксплойты. Как правило, атаки типа drive by download ^[5] организуются злоумышленниками с привлечением того или иного набора эксплойтов, которые обеспечивают скрытную установку вредоносного ПО.

Автор: esetnod32

Источник ^[6]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/blog-kompanii-eset-nod32/82939

Ссылки в тексте:

[1] другими: http://habrahabr.ru/company/eset/blog/229455/

[2] утечками: http://habrahabr.ru/company/eset/blog/184576/

[3] выставлены на продажу: http://www.malwaretech.com/2015/02/rig-exploit-kit-possible-source-code.html

[4] хостинг: https://www.reg.ru/?rlink=reflink-717

[5] атаки типа drive by download: http://habrahabr.ru/company/eset/blog/248977/

[6] Источник: http://habrahabr.ru/post/250571/

Нажмите здесь для печати.