В выходные компании Malwarebytes и RiskIQ из сферы компьютерной безопасности обнаружили на торрент-портале The Pirate Bay вредоносную рекламу, распространяющую приложение-вымогатель Cerber и потенциально нежелательное ПО. Делается это при помощи перенаправления пользователей на страницу с эксплоитом Magnitude. Это часть более широкой кампании, о которой стало известно 18 апреля, когда Malwarebytes впервые обнаружила подозрительную деятельность. После этого злоумышленники сменили сеть, через которую распространяют вредоносную рекламу.
Как и многие другие кампании подобного рода, эта перенаправляет пользователей на промежуточный сервер, где скрипт разделяет пользователей на жертв и на цели, которые взломать не получится. К числу первых могут относиться обладатели устаревших версий Windows и Internet Explorer.
Только признанные пригодными для атаки пользователи перенаправляются по финальному адресу URL, где эксплоит Magnitude пытается воспользоваться найденными уязвимостями и установить программу-вымогатель Cerber, впервые обнаруженную в марте. Используется уязвимость Flash (CVE-2016-1019), которая была закрыта в этом месяце патчем от Adobe. Её открыла компания Proofpoint, тогда это была уязвимость нулевого дня, продвигавшая программу-вымогатель эксплоитами Magnitude и Nuclear. Уязвимость позволяет выполнять в системе вредоносный код незаметно для пользователя.