Breve bio

Angler è stato uno dei principali exploit kit utilizzati dai criminali informatici per distribuire malware che vanno dal ransomware e trojan bancari per le frodi pubblicitarie. Come la maggior parte degli altri kit di exploit, si è concentrata sulle vulnerabilità basate sul Web nei browser e nei loro plugin. Angler è stato uno dei pochi exploit kit durante il suo tempo che ha offerto infezioni fileless, dove il malware non tocca mai il disco e risiede solo in memoria per evitare il rilevamento. Angler è inattivo da giugno 2016.

Storia

Quando Blackhole, il “re dei kit di exploit”, è scomparso alla fine del 2013, ha lasciato un vuoto nei sotterranei criminali. Non più a lungo dopo, un nuovo arrivato chiamato Angler ha iniziato a generare qualche ronzio. Non ci è voluto molto per diventare il kit di exploit de facto, grazie alla sua efficacia complessiva e alla capacità di aggiungere vulnerabilità zero-day nel suo arsenale.

Angler utilizzato vulnerabilità in Internet Explorer, Silverlight, Flash Player, Adobe Reader, Java, Internet Explorer e Flash.

È interessante notare che Angler ha anche utilizzato la vulnerabilità ActiveX XLMDOM (CVE-2013-7331) per i sistemi di impronte digitali. Questa tecnica viene utilizzata per rilevare macchine virtuali, sandbox e strumenti di sicurezza che indicano la presenza di un ricercatore di sicurezza e non di un vero utente finale.

Angler ha anche utilizzato uno scambio di chiavi di crittografia Diffie-Hellman per rendere ogni attacco unico per una particolare vittima e per contrastare i tentativi di riproduzione delle catture di pacchetti.

Per i motivi sopra descritti, Angler è stato uno dei kit di exploit più tecnicamente complessi. Inoltre, gli sviluppatori dietro Angler hanno dimostrato grande abilità quando si trattava di integrare le ultime vulnerabilità patchate, nel giro di pochi giorni, a volte ore, dopo che sono stati fissati dai rispettivi fornitori di software.

Infine, Angler è stato molto abile nell’introdurre exploit nuovi di zecca per vulnerabilità senza patch, i cosiddetti zero-days. Questo ha rappresentato una vera minaccia per i consumatori e le imprese, perché dimostra che anche patch non è sufficiente in questi giorni. La patch è già problematica, quindi l’emergere di zero-days mette le cose in prospettiva e richiede una strategia diversa per combatterle.

Metodo di infezione comune

Il traffico verso il kit Angler exploit proveniva da malvertising e siti web compromessi. Il reindirizzamento del traffico è una parte essenziale dell’intero ecosistema dei kit di exploit e ci sono stretti legami tra gli operatori di questi kit di exploit e le persone (trafficanti) responsabili della guida.

L’infezione è avvenuta tramite un processo noto come download drive-by, in cui un utente che naviga su un sito legittimo (o compromesso) viene reindirizzato alla pagina di exploit kit senza alcun tipo di azione da parte loro. A volte il reindirizzamento avviene in background tramite un iframe, ad esempio, rendendo il processo di infezione quasi invisibile dall’utente finale.

Se la macchina dell’utente era vulnerabile (o anche se non lo era, nel caso di uno zero-day), un pezzo di malware viene rilasciato su disco o iniettato direttamente in memoria. Exploit kit può essere visto come un metodo di consegna, un veicolo per qualsiasi tipo di infezione da malware.

Famiglie associate

Ci sono state somiglianze tra Angler EK e Hanjuan EK, un altro kit di exploit più sfuggente. Ad esempio, l’uso di chiavi di crittografia simili e i payload fileless.

Remediation

Non è possibile rimuovere l’exploit kit stesso, poiché è in realtà solo uno strumento per infettare un PC in un determinato momento. Per questo motivo, la correzione dipende dal malware effettivo che è stato eliminato, che in molti casi è in realtà una combinazione di vari pezzi di malware.

Aftermath

I segni di un’infezione tramite un kit di exploit non sono sempre evidenti se il malware è pensato per essere furtivo (cioè trojan bancario). In altri casi, l’utente si renderà conto rapidamente che qualcosa è andato storto quando il proprio desktop viene dirottato con un messaggio che richiede un riscatto per decifrare i propri file personali.

Evitamento

Non esiste un vero modo per evitare i kit di exploit perché vengono portati via malvertising anche su siti Web popolari. Detto questo, tutti noi siamo stati esposti a sfruttare kit in un punto o in un altro, ma se siamo stati infettati o meno dipende dal tipo di exploit che è stato spinto, e se stavamo usando qualsiasi tipo di software di mitigazione exploit.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.