По свидетельству Sophos, популярность Angler в среде киберкриминала неуклонно растет, несмотря на жестокую конкуренцию: за девять месяцев, с сентября по минувший май, присутствие Angler в Интернете в сравнении с другими эксплойт-паками увеличилось с 22,8 до 82,2%. На долю прежнего фаворита, Nuclear, ныне приходится лишь 16,0% детектов.

Набор эксплойтов Angler объявился в Сети осенью 2013 года, почти сразу после ареста предполагаемого автора аналогичного тулкита Blackhole. С тех пор он постоянно совершенствуется, оперативно обновляя боевой арсенал за счет новых, пропатченных или приватно раскрытых 0-day-уязвимостей, а также усердно осваивает технологии самозащиты.

По свидетельству эксперта SophosLabs Фрейзера Говарда (Fraser Howard), создатели Angler постарались скрыть его от обнаружения на всех возможных уровнях. Обмануть репутационные фильтры тулкиту помогают высокая ротация доменов и IP-адресов, а также новая тактика — затенение доменов (domain shadowing). Динамическая генерация компонентов Angler позволяет создавать множество вариантов вредоносного контента, уникальных для каждой потенциальной жертвы, что сильно затрудняет сбор и анализ сэмплов. Наконец, этот эксплойт-пак обладает широким набором средств обфускации и обхода современных песочниц.

В последнее время Sophos, по словам Говарда, ежедневно фиксирует тысячи Angler-страниц в Интернете. «За последние месяцы Angler обогнал всех своих конкурентов, — констатирует исследователь. — Этому могли способствовать многие факторы: рост трафика на зараженных Angler страницах, эффективность включенных в набор эксплойтов, умелая реклама в криминальной среде, привлекательные расценки, — другими словами, он очень рентабелен для злоумышленников, покупающих PPI-услуги (pay-per-install) у стоящей за Angler группы».

Новейшим приобретением Angler являются эксплойты к уязвимостям нулевого дня в Adobe Flash Player, о которых стало известно в результате публикации архивов, украденных у Hacking Team. Примечательно, что создатели эксплойт-пака и тут остались верны своим принципам: новые элементы были добавлены в набор почти сразу после слива краденого дампа. Такая оперативность тоже в немалой мере способствует коммерческому успеху этого тулкита на черном рынке.

Согласно статистике Sophos, в апреле Angler в основном атаковал Internet Explorer (59% успешных эксплойтов) и Flash (41%). Эксперты, правда, отметили, что результаты подобного анализа зависят не только от настроек эксплойт-пака, но также от конфигурации атакуемых систем: Angler обычно избегает применять эксплойт, если нужный компонент у намеченной жертвы отсутствует.

Среди целевых зловредов, загружавшихся в результате эксплуатации брешей, преобладали вымогатели-блокеры — на них в апреле пришлось более половины drive-by-загрузок с участием Angler. Чаще прочих целевым зловредом оказывался Teslacrypt.

Категории: Аналитика, Вредоносные программы, Главное