Эксперты MalwarebytesLabs зафиксировали вредоносную кампанию, в ходе которой применяется необычный формат URL для переадресации на веб-страницу с набором эксплоитов Rig, загружающим на компьютер вредоносную программу Smoke Loader.
Проводя анализ вредоносного трафика, специалисты акцентируют внимание на определенных аспектах, включая имена хост-узлов и IP-адреса, применяемые в ходе атак. Имя хоста может быть отображено в виде доменного имени, полного доменного имени или IP-адреса.
Для человека очень сложно прочесть двоичный IP-адрес. Чтобы облегчить данную задачу, 32 бита группируются в октеты, каждый из которых состоит из четырех 8-битных байтов. Каждый из октетов в IP-адресе представлен в виде своего десятичного значения в диапазоне от 0 до 255. Обычно октеты разделяются с помощью десятичной точки, но иногда от этого отказываются.
Один из подобных случаев был изучен экспертами MalwarebytesLabs. Анализируя цепочку инфицирования Rig, специалисты нашли имя хоста http://1760468715, которое в браузерах Chrome и Internet Explorer преобразовывалось в IP-адрес 104.238.158.235. Эксперты обнаружили взломанные сайты, которые перенаправляли пользователей на URL http://1760468715, откуда осуществлялась переадресация на веб-страницу с набором эксплоитов Rig.