Эксперты по вопросам информационной безопасности из компании Zscaler сообщают о масштабной вредоносной кампании, в рамках которой злоумышленниками используются более 2600 взломанных сайтов WordPress с целью распространения программного обеспечения CryptoWall 3.0.
По данным специалистов, вредоносные плавающие фреймы были внедрены хакерами в более 4000 страниц порталов, которые используют версию WordPress 4.2. С помощью данных фреймов осуществляется перенаправление пользователей на страницу с размещенным на ней набором эксплоитов Neutrino.
Эта страница была создана для использования уязвимостей в медиапроигрывателе Adobe Flash, позволяя при этом заражать программой CryptoWall 3.0 компьютеры пользователей Internet Explorer. Следует отметить, что в набор Neutrino его создателями были включены эксплоиты для уязвимостей в Flash, попавшие в их руки в результате утечки из корпоративной сети Hacking Team почти сразу после того, как украденную информацию опубликовали в публичном доступе.
Как утверждают эксперты из Zscaler, вредоносная кампания, обнаруженная ими, является свидетельством роста популярности Neutrino. Этот факт подтверждается и исследователем информационной безопасности из компании Rackspace Брэдом Данканом. Данные, которые ему удалось получить, свидетельствуют о том, что злоумышленники, которые ранее использовали набор эксплоитов Angler, теперь предпочитают Neutrino. На данный момент из-за отсутствия полной информации нельзя определить, имеют ли эти изменения перманентный характер. Однако, как заметил Данкан, хакеры в прошлом не единожды быстро меняли свою тактику, что не исключает изменения ситуации.