Short bio

Angler fue uno de los kits de exploits líderes utilizados por los ciberdelincuentes para distribuir malware que iba desde ransomware y troyanos bancarios hasta fraude publicitario. Al igual que la mayoría de los otros kits de exploits, se centró en las vulnerabilidades basadas en la web en los navegadores y sus complementos. Angler fue uno de los pocos kits de exploits durante su tiempo que ofrecía infecciones sin archivos, donde el malware nunca toca el disco y solo reside en la memoria para evitar la detección. Pescador ha estado inactivo desde junio de 2016.

Historia

Cuando Blackhole, el «rey de los kits de exploits», desapareció a finales de 2013, dejó un vacío en el subsuelo criminal. No más tarde, un recién llegado llamado Pescador comenzó a generar algunos rumores. No tardó mucho en convertirse en el kit de exploits de facto, gracias a su efectividad general y su capacidad para agregar vulnerabilidades de día cero a su arsenal.

Angler utilizó vulnerabilidades en Internet Explorer, Silverlight, Flash Player, Adobe Reader, Java, Internet Explorer y Flash.

Es de destacar que Angler también utilizó la vulnerabilidad ActiveX XLMDOM (CVE-2013-7331) para los sistemas de huellas dactilares. Esta técnica se utiliza para detectar máquinas virtuales, cajas de arena y herramientas de seguridad que indican la presencia de un investigador de seguridad y no de un usuario final genuino.

Angler también utilizó un intercambio de claves de cifrado Diffie-Hellman para hacer que cada ataque fuera único para una víctima en particular y para frustrar los intentos de reproducir capturas de paquetes.

Por las razones descritas anteriormente, Angler era uno de los kits de exploits más complejos técnicamente. Además, los desarrolladores detrás de Angler han demostrado una gran habilidad a la hora de integrar las últimas vulnerabilidades parcheadas, en cuestión de días, a veces horas, después de que los respectivos proveedores de software las arreglaran.

Finalmente, Angler fue muy hábil en la introducción de nuevos exploits para vulnerabilidades sin parches, los llamados días cero. Esto representaba una verdadera amenaza para los consumidores y las empresas, ya que muestra que incluso los parches no son suficientes en estos días. Los parches ya son problemáticos, por lo que la aparición de los días cero pone las cosas en perspectiva y requiere una estrategia diferente para combatirlas.

Método de infección común

El tráfico al kit de exploits para pescadores provenía de publicidad maliciosa y sitios web comprometidos. La redirección de tráfico es una parte esencial de todo el ecosistema de kits de explotación, y hay estrechos vínculos entre los operadores de estos kits de explotación y las personas (traficantes) a cargo de conducir cables hasta ellos.

La infección se produjo a través de un proceso conocido como descarga directa, en el que un usuario que navega por un sitio legítimo (o comprometido) es redirigido a la página del kit de exploits sin ningún tipo de acción por su parte. A veces, la redirección ocurre en segundo plano a través de un iframe, por ejemplo, haciendo que el proceso de infección sea casi invisible para el usuario final.

Si la máquina del usuario era vulnerable (o incluso si no lo era, en el caso de un día cero), una pieza de malware se deja caer en el disco o se inyecta directamente en la memoria. Los kits de exploits pueden verse como un método de entrega, un vehículo para cualquier tipo de infección de malware.

Familias asociadas

Ha habido similitudes entre Angler EK y Hanjuan EK, otro kit de exploits más difícil de alcanzar. Por ejemplo, el uso de claves de cifrado similares y cargas útiles sin archivos.

Remediación

No se puede eliminar el kit de exploits en sí, ya que en realidad es solo una herramienta para infectar un PC en un momento determinado. Por esta razón, la reparación depende del malware real que se eliminó, que en muchos casos es en realidad una combinación de varias piezas de malware.

Secuelas

Los signos de una infección a través de un kit de exploits no siempre son obvios si la pieza de malware está destinada a ser sigilosa (es decir, Troyano bancario). En otros casos, el usuario se dará cuenta rápidamente de que algo ha salido mal cuando su escritorio sea secuestrado con un mensaje que exige un rescate para descifrar sus archivos personales.

Evitación

No hay una forma real de evitar los kits de exploits, ya que se generan a través de publicidad maliciosa, incluso en sitios web populares. Dado esto, todos hemos estado expuestos a kits de exploits en un momento u otro, pero si estábamos infectados o no depende del tipo de exploit que se envió y si estábamos utilizando algún tipo de software de mitigación de exploits.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.