Neutrino Exploit Kit (EK) — это модульный инструмент для эксплуатации уязвимостей в браузерах и их плагинах, предназначенный для автоматического распространения вредоносного программного обеспечения. Впервые обнаруженный в 2012 году, он быстро стал одним из самых активных EK на киберпреступном рынке, предлагаясь как услуга с возможностью аренды серверов для атак. Neutrino использовался для распространения различных видов вредоносного ПО, включая программное обеспечение-вымогатели (ransomware), такие как CryptXXX, CrypMIC, Bandarchor и Pizzacrypts.
Основной механизм работы Neutrino заключался в использовании уязвимостей в популярных приложениях, таких как Java, Adobe Flash и Adobe Reader. EK автоматически определял уязвимости на целевой системе и, при их наличии, доставлял вредоносный код. Для повышения эффективности атак Neutrino применял методы отпечатков (fingerprinting), чтобы избежать обнаружения системами защиты и фильтрации трафика. В 2017 году активность Neutrino прекратилась после совместной операции Cisco Talos и GoDaddy, направленной на прекращение распространения этого инструмента.
- Модульная структура: возможность добавления новых эксплойтов и модификации существующих.
- Автоматическое определение уязвимостей: сканирование системы жертвы для выявления уязвимых приложений.
- Использование отпечатков (fingerprinting): определение характеристик системы жертвы для оптимизации атаки.
- Поддержка различных типов вредоносного ПО: распространение программ-вымогателей, троянов и других видов вредоносного кода.
- Аренда как услуга: предложение EK в аренду другим киберпреступникам для проведения атак.
- Обфускация кода: использование методов скрытия кода для обхода систем защиты и фильтрации.
- Маскировка атак: применение техник, таких как SEO-отравление, для перенаправления пользователей на страницы с EK.
- Использование уязвимостей в популярных приложениях: атаки на устаревшие версии Java, Flash и других приложений.