Вчера я наткнулся на интересный аккаунт в твиттере, который привлек внимание странными твитами, адресованными ресерчерам. Внимание привлекли следующие свойства:
- Твиты были адресованы секьюрити ресерчерам (Микко Хиппонен, tachion24, Charlie aka Kafeine, Брайану Кребсу и Security Obscurity aka SecObscurity), которые занимаются, в т. ч. исследованиями наборов эксплойтов (exploit kits) и пишут о них.
- Название аккаунта «paunch big hecker» недвусмысленно намекает на известного человека под ником Paunch, автора Blackhole exploit kit.
- Содержание твитов намекает на то, что это ссылки на страницы статистики наборов эксплойтов (Nuclear Pack, Cool Exploit Kit), причем указываются сами названия наборов.
Такое своеобразное название аккаунта очевидно было выбрано для того, чтобы привлечь больше внимания.
Позднее я поделился информацией с Peter Kruse, который обнаружил, что ссылки представляют собой URL-адреса на фиктивные страницы статистики работы эксплойтов, причем они сами содержали код применения эксплойтов для установки вредоносного кода в систему пользователя, который перешел по этой ссылке.
Kafeine полагает, что в этом случае речь идет не об атаках на ресерчеров, а скорее о предумышленной утечке статистики работы панелей.
Пост Брайана http://krebsonsecurity.com/2013/08/personalized-exploit-kit-targets-researchers/.
Автор: esetnod32