Эксперты из Heimdal Security сообщают о новой киберкампании, в рамках которой хакеры пользуются набором эксплоитов RIG для распространения вымогательской программы CrypMIC.
Как утверждает сотрудница Heimdal Security Андре Захариа, в ходе кибератак используется классическая методика внедрения скрипта в страницы легитимных сайтов для переадресации их посетителей на веб-страницы, которые находятся под контролем злоумышленников. На этих ресурсах размещен набор эксплоитов RIG, применяемый для инфицирования целевой системы вымогательской программой CrypMIC. Заражение происходит путем использования разных уязвимостей в плагине Adobe Flash Player.
Эксплоит CrypMIC проникает во временную папку под произвольным именем. Осуществляется запуск файла с правами текущего пользователя. Вредоносная программа незамедлительно выходит на связь с командным сервером, используя TCP-порт 443.
Как утверждают эксперты из Digital Shadows, на данный момент RIG – один из пяти наиболее активных наборов эксплоитов на рынке, наряду с Hunter, Magnitude, Neutrino и Sundown.