Исследователи из команды nao_sec сообщили о ранее неизвестном эксплойт-паке, получившем название Bottle. Вредоносный инструмент, ориентированный на японских пользователей, предположительно устанавливает на компьютер жертвы программу для кражи данных. Злоумышленники начали его активно использовать в сентябре этого года, а свежие данные о новой эксплойт-кампании появились у экспертов в начале декабря.
Как проходит атака Bottle?
Эксплойты Bottle попадают на компьютер жертвы через рекламное объявление, которое ведет на страницу, загружающую два JavaScript-сценария. Первый предназначен только для получения кода установщика с командного сервера. Второй содержит многократно обфусцированную полезную нагрузку. Злоумышленники меняют порядок блоков, а также комбинируют методы Base64, URL Encode и RC4, чтобы обойти антивирусные фильтры.
Далее вредоносный скрипт выполняет ряд проверок, чтобы убедиться в правильности выбранной цели: определяет язык системы, ищет на устройстве браузер Internet Explorer, а также следы предыдущих установок эксплойт-пака.
Если жертва прошла все проверки, Bottle загружает один из трех вариантов полезной нагрузки. Два сценария предназначены для эксплуатации CVE-2018-8174 в 32-разрядной или 64-разрядной версии Internet Explorer. Уязвимость в движке VBScript позволяет атакующему использовать порчу памяти для выполнения стороннего кода в контексте пользователя. Разработчики Microsoft закрыли баг еще в мае 2018 года, однако злоумышленники по-прежнему активно его эксплуатируют.
Третий скрипт использует ошибку use-after-free в медиадвижке Flash Player. Критическая уязвимость CVE-2018-15982 получила заплатку в декабре прошлого года, но еще до этого пополнила арсеналы киберпреступников.
Зловред, загружаемый на машину в результате отработки эксплойта,. является оригинальной разработкой. По мнению ИБ-специалиста Виталия Кремеза (Vitali Kremez), он нацелен на похищение данных у японских пользователей.
Источник: https://threatpost.ru/konnichiwa-bottleek-ek/35036/