Злоумышленникам предположительно удалось скомпрометировать сервер новостного ресурса.
Исследователи безопасности из «Лаборатории Касперского» сообщили о кибератаке на сайт одного известного российского СМИ (название сайта не раскрывается). Злоумышленникам удалось разместить на ресурсе вредоносный код, перенаправляющий пользователей на содержащую эксплоиты страницу. По словам специалистов, в арсенал хакеров входят эксплоиты для уязвимостей CVE-2018-8174 и CVE-2018-8120. Первая представляет собой проблему в Internet Explorer, в то время как вторая позволяет злоумышленникам повысить привилегии на ОС Windows. На последнем этапе атаки в качестве полезной нагрузки на атакуемую систему загружается известный банковский троян Buhtrap.
Вредоносный код размещен на всех страницах новостного ресурса и вставляется не в результате работы рекламного скрипта, а на стороне сервера, что может говорить о компрометации последнего.
«Стоящие за Buhtrap злоумышленники совершенствуют свой арсенал: впервые ими был применен эксплоит для «свежей» уязвимости в Internet Explorer — CVE-2018-8174. В совокупности с эксплойтом для повышения привилегий это позволяет им значительно повысить шансы на успешную доставку банковского троянца. Это особенно опасно, если учесть, что источником распространения зловреда являлся крупный российский новостной ресурс», — отметили специалисты.
