Королевский ребенок и злодеи с BlackHole

«Лаборатория Касперского» поздравляет королевскую чету с рождением первенца и желает молодой семье всего наилучшего. Это по-настоящему радостное событие – как для самой Великобритании, так и для всего мира.

Злоумышленники не замедлили воспользоваться столь знаменательным событием в своих целях: в наши спам-ловушки попало сообщение с заголовком The Royal Baby: Live updates (Королевский младенец: прямая трансляция). Получателю письма предлагают кликнуть по ссылке, якобы ведущей на трансляцию с установленной в госпитале камеры наблюдения. На самом деле ссылка ведет … в никуда, как будто контент, на который она указывает, удален с сайта. Не исключено, что это взломанный легитимный сайт, все содержимое которого стерли.

Но нас все же интересовало, что это был за вредоносный контент, и долго искать не пришлось. На момент написания этого блога в выдаче Google оказался всего один результат.

Перейдя на найденный ресурс, мы увидели практически тот же контент, что и в спам-сообщении. Правда, есть одно отличие: содержащаяся на сайте ссылка на «камеры, установленные у госпиталя» по-прежнему активна. Она указывает на ресурс, содержащий в свою очередь три ссылки на файлы с расширением *.js, размещенные на трех разных хостах.

После проверки этих ссылок стало, наконец, понятно, в чем тут дело: они используются для осуществления drive-by атаки с использованием эксплойтов из набора BlackHole.

Продукты «Лаборатории Касперского» детектируют размещенный на страницах вредоносный объект как Trojan-Downloader.JS.Expack.aiy.