Angler Exploit Kit : rapport de recherche fait par SophosLabs
- Un Exploit Kit est le composant de type “crimeware-as-a-service” que les criminels du web, tels que les groupes utilisant les ransomwares ou encore les autres fraudeurs en ligne, utilisent pour actionner leurs malwares.
- Bien que les malwares eux-mêmes traînent dans leurs sillages beaucoup de publicités, l’action quasi-invisible d’un exploit kit est la réelle force qui se cache derrière les problèmes de malwares, tels que les ransomwares.
- Il existe de nombreux “services” Exploit Kit disponibles pour les cybercriminels en herbe, cependant l’un d’entre eux, dénommé Angler Exploit Kit, est devenu un leader du marché ces derniers mois, ayant à son actif plus de 75% des infections par malwares causées par un Exploit Kit.
- Le groupe derrière Angler Exploit Kit, ne tarde jamais à se jeter sur la dernière faille de sécurité du moment, en les intégrant au sein de leur exploit kit, comme nous avons pu le voir dans le cas des failles révélées par les dernières attaques de Hacking Team (les multiples vulnérabilités zero-day au niveau d’Adobe Flash en sont un exemple).
Angler Exploit Kit : présentation du rapport
Au cours de ces dernières années, les Exploit Kits ont été largement utilisés par les cybercriminels cherchant à infecter des utilisateurs avec leurs malwares. Ils sont intégrés au processus drive-by-download, qui dirige de façon invisible, le navigateur d’un utilisateur donné, vers un site malveillant qui héberge un Exploit Kit.
Un Exploit Kit ensuite agit de manière à exploiter les failles, connues comme des vulnérabilités, afin d’infecter l’utilisateur avec des malwares. L’intégralité de ce processus peut se dérouler de façon complètement invisible, ne demandant aucune action de l’utilisateur.
Dans ce rapport, nous avons porté notre attention sur un Exploit Kit en particulier, utilisé pour faciliter les drive-by-download, et connu sous le nom d’Angler Exploit Kit.
Angler est apparu pour la première fois en 2013, et depuis sa popularité n’a fait qu’augmenter, en dominant en 2015 le “marché” de l’Exploit Kit, en termes de fréquence d’utilisation.
Pourquoi une telle évolution ? Pour Angler Exploit Kit a-t-il dépassé ces concurrents ? En fait, plusieurs facteurs entrent en jeu :
En fait, la domination d’Angler Exploit Kit reflète l’efficacité de ce dernier pour infecter ces victimes avec des malwares.
Le rapport a analysé de manière complète Angler Exploit Kit, en mettant en évidence certaines des astuces et techniques utilisées, afin d’augmenter le pourcentage d’infection.
Comprendre le comportement d’Angler du début à la fin du processus est vital pour mettre en place une protection efficace. En effet, Angler Exploit Kit tente d’échapper aux détections à plusieurs niveaux :
Angler entrave l’action des experts en sécurité qui suivent à la trace les techniques utilisées, telles que l’offuscation et l’anti-sandboxing.
Lisez le rapport complet pour mieux comprendre le fonctionnement d’Angler Exploit Kit, et le type de malwares qui sont utilisés et installés sur les ordinateurs de ces victimes.
Partagez “Angler Exploit Kit : rapport de recherche fait par SophosLabs” avec http://wp.me/p2YJS1-1XK
Pour en savoir plus (mais en anglais), regardez A closer look at the Angler exploit kit sur notre blog Sophos Corporate.