Il a vu le jour après l'arrestation de Paunch, l'auteur de BlackHole Exploit Kit. Les gains sont tels que dès qu'un libère la place un autre le remplace. Angler EK est rapidement devenu un des Exploits kits les plus utilisés par les criminels.
Il permet donc d'effectuer des attaques Drive-By Download.
Pour rappel, un Exploit Kit représente des codes malveillants qui permettent d'infecter en masse des internautes, à la simple visite d'un site WEB ou d'un lien piégé, en exploitant des vulnérabilités sur le système d'exploitation ou sur les logiciels installés. Souvent ces vulnérabilités sont directement greffées sur le navigateur WEB via les plugins comme Java, Flash, etc,...
L'Exploit Kit est capable de générer des statistiques ( % d'internautes infectés, par pays, etc ) et offre des fonctions de filtrages comme par exemple reconnaitre les antivirus installés et/ou d'infecter un navigateur plutôt qu'un autre et/ou de limiter les infections qu'à une zone géographique, etc..
Ce dernier possède des mécanismes qui permettent de générer de nouvelles URLs tous les X minutes sur des IPs différentes afin d'éviter d'être sur les listes noires des solutions de sécurité ( blacklist ). Passé un moment, Angler EK utilisait carrément des sous-domaines via des comptes piratés chez l'hébergeur GoDaddy.
De plus, des filtres sont aussi mises en place pour que les antivirus ne puissent suivre ces URLs ou bloquer des chercheurs en sécurité, par exemple Angler Exploit Kit ne vise que les utilisateurs d'Internet Explorer.
Les cybercriminels peuvent aussi utiliser l'interface de programme ( API ) pour envoyer le traffic vers Angler EK. Ils peuvent ainsi être rémunérés en temps réel sur le nombre de victimes ou sur la base du volume de traffic de l'Exploit Kit.
Dans son étude, Sophos indique qu'en septembre 2014 Angler EK était à 22% et la répartition entre les divers Exploit Kit connus (Magnitude, Neutrino, Fiesta) étaient assez égales. ( https://blogs.sophos.com/2015/07/21/a-c ... ploit-kit/ En Aout 2014, j'avais publié une actualité où Magnitude ExploitKit avait été utilisé par un groupe pour pousser le ransomware Cryptowall via des malvertising.
Ces malvertising ont été stoppées à la fin du premier trimestre 2015, d'où la chute de Magnitude en mai.
Aujourd'hui, il ne reste que deux gros : Angler EK & Nuclear Pack EK se partagent le gâteau.
Dernières activités d'Angler EK :
La charge ( payload ) : On voit içi qu'Internet Explorer est plus visé que le reste. C'est souvent le cas, les malvertising filtrent sur le navigateur WEB pour ne viser qu'Internet Explorer. Exemple concret avec cette image issue de la page [en] OpenX Hacks example (malvertising).
Parmi les codes malveillants les plus distribués :
- Le ransomware TeslaCrypt
- Le trojan clicker Kovter délivré par malvertising ( flash player updates )
- La backdoor Andromeda avec fonctionnalités de stealer
- Le trojan banker Vawtrak ( Vawtrak - In The Shadows )
D'après les analystes, il supporterait à l'heure actuelle + de 35 vulnérabilités Flash différentes !
Dernièrement, la vulnérabilité CVE-2015-5560 qui affecte les versions 18.0.0.232 est exploitée.
Je vous invite à suivre le blog de notre ami Kafeine qui suit les Exploit Kit de près :
Angler EK possède de multiples méthodes pour échapper aux antivirus et au chercheur en sécurité : http://researchcenter.paloaltonetworks. ... mpromised/
Liens connexes (ѠOOT):Static/Signature analysis evasion
Browser emulator evasion
User Agent-based evasion
Cookie-based evasion
→ http://malware.dontneedcoffee.com/searc ... ngler%20EK
→ https://blogs.sophos.com/2015/07/21/a-c ... ploit-kit/
→ https://www.fireeye.com/blog/threat-res ... _inte.html
→ Angler EK * CVE-2015-7645 (Flash up to 19.0.0.207) & Exploit Kits
→ Angler EK * The Casino Malvertising Campaign
→ Angler EK * Readers digest & other Wordpress sites compromised
→ Angler EK continues to evade detection, over 90 000 websites compromised
Liens internes: