Το Angler Exploit Kit δείχνει αποφασισμένο πως ήρθε για να μείνει… αφού έχει ήδη μολύνει περισσότερα από 90.000 websites.
Το Angler Exploit Kit (AEK) ολοένα και αυξάνει την επιρροή του στο διαδίκτυο αφού σύμφωνα με αναλύσεις της Palo Alto Networks, περισσότερα από 90.000 websites έχουν ήδη μολυνθεί από το AEK, 30 εκ των οποίων βρίσκονται στην λίστα Alexa top 100.000.
Προφανώς, ο αριθμός των μηνιαίων επισκεπτών σε αυτές τις ιστοσελίδες είναι αρκετά υψηλό, πιθανότατα πάνω από 11 εκατομμύρια, όπως εκτιμάται από την TrafficEstimate.com.
Καθώς φαίνεται πρόκειται για μια εξαιρετικά οργανωμένη επιχείρηση κατά την οποία γίνονται περιοδικά updates του κακόβουλου περιεχομένου σε όλα AEK gate sites ταυτόχρονα.
Επιπλέον, οι μολυσμένες ιστοσελίδες μπορούν να επιλέξουν να στοχεύσουν συγκεκριμένες IP ranges και configurations.
Αυτός είναι ο λόγος που το ποσοστό ανίχνευσης του ΑΕΚ είναι τόσο χαμηλό, αφού τα περισσότερα από τα μολυσμένα sites δεν ήταν αναγνωρίσιμα ακόμη και μετά από εβδομάδες μελέτης και scanning με την χρήση VirusTotal scanners.
Πως το Angler Exploit Kit αποφεύγει την ανίχνευση;
Η αρχική έκδοση του AEK malicious JavaScript code έγινε injected στους servers που έχουν παραβιαστεί και ο στόχος ήταν σχεδόν όλες οι κύριες εκδόσεις του Internet Explorer Browser (version 8-11).). Αυτό συμβαίνει επειδή οι χρήστες έχουν ευπαθείς εκδόσεις του Flash εγκατεστημένες στα συστήματά τους.
Μια νέα παραλλαγή του Angler Exploit Kit μπορεί να στοχεύσει όλους τους προηγμένους, κύριους browsers ακόμα και στο Gecko-based Firefox και το Webkit-based Chrome.
Πως δουλεύει;
Όταν το θύμα επισκέπτεται οποιοδήποτε από τα μολυσμένα WordPress/Apache hosts, ανακατευθύνεται αμέσως σε έναν κακόβουλο server όπου φιλοξενείται το ΑΕΚ. Αυτό μπορεί να συμβεί μέσω ενός middle layer που ονομάζεται EK gate ή άμεσα.
[button type=”link” link=”https://secnews.gr/100411/program-languages-that-generate-most-software-security-bugs/” size=”btn-large” variation=”btn-warning”]Μάθετε: Ποια γλώσσα προγραμματισμού υποφέρει απ’τα περισσότερα security bugs?[/button]Το τελευταίο κακόβουλο payload μπορεί να ποικίλει και μπορεί να περιλαμβάνει ransomware όπως το Cryptowall, spyware ή botnets, τα οποία μπορούν να συνδέσουν τον host σε έναν C&C server. Αυτή η ανακατεύθυνση, που είναι, από το EK gate στον file hosting server, μπορεί να συμβεί στο ίδιο domain ή cross-domain
Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by
Comment Policy:
Tο SecNews.gr δεν δημοσιεύει άμεσα τα σχόλια. Κακόβουλα σχόλια, σχόλια που συμπεριλαμβάνουν διαφημίσεις, ή ύβρεις διαγράφονται άμεσα χωρίς καμία προειδοποίηση.
Δεν υιοθετούμε τις απόψεις που εκφράζουν οι αναγνώστες μας.