Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Набор эксплоитов Fallout снова активен и эксплуатирует новые проблемы

22/01/19

Набор эскплоитов Fallout впервые был замечен осенью 2018 года. Тогда Fallout был обнаружен на взломанных сайтах и пытался применять против их посетителей эксплоиты для уязвимостей в Adobe Flash Player (CVE-2018-4878) и Windows VBScript (CVE-2018-8174).

По данным ИБ-эксертов, в конце декабря прошлого года набор эксплоитов временно прекратил работу и не проявлял активности вплоть до начала января. Теперь Fallout вернулся, и специалисты предупреждают, что обновленная версия стала опаснее.

В частности, новую версию описывает исследователь, известный под псевдонимом Kafeine. По его данным, новая версия Fallout, вслед за конкурирующим набором эксплоитов Underminer, пополнилась эксплоитом для свежей уязвимости нулевого дня CVE-2018-15982, которую обнаружили и исправили в декабре 2018 года. Напомним, что тогда с помощью этой проблемы в Adobe Flash Player неизвестные, предположительно, атаковали Поликлинику №2 Управления делами Президента Российской Федерации.

CVEТакже Kafeine отмечает, что авторы Fallout полностью переработали механизмы обфускации и генерации лендингов, а также обещают клиентам лучшую производительность. Кроме того, хакеры решили отказаться от старого эксплоита для бага CVE-2018-8373 из-за неустойчивых результатов, которые тот давал.

Заметили появление обновленной версии эксплоит-кита и эксперты Malwarebytes. Аналитики пишут, что в настоящее время Fallout распространяется посредством системы распределения трафика HookAds, услугами которой ранее пользовались конкурирующие группы, авторы эксплоит-китов RIG-v и Neutrino.

Кроме того, исследователи отмечают, что теперь Fallout «сбрасывает» пейлоад, используя Powershell, и не взаимодействует с iexplore.exe как раньше. Вероятнее всего, это изменение сделано, чтобы усложнить обнаружение малвари, ведь обычно в заражении участвует процесс Internet Explorer.

По данным экспертов, сейчас Fallout по-прежнему распространяет шифровальщика GandCrab, как и в сентябре 2018 года.

Темы:Угрозынабор эксплоитов
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...