Η ομάδα των κυβερνοεγκληματιών που βρίσκεται πίσω από την Angler browser-based επίθεση κατάφερε να παραβιάσει λογαριασμούς από το GoDaddy φιλοξενώντας exploits του Flash Player σε νόμιμες ιστοσελίδες.
Τις τελευταίες δύο εβδομάδες, η Adobe αναγκάστηκε να εκδώσει δύο out-of-band ενημερώσεις ασφαλείας για το Flash Player, επιδιορθώνοντας δύο ευπάθειες zero-day (CVE-2015-0310 και CVE-2015-0311).
Αυτή την εβδομάδα, αναμένεται μια επιπλέον ενημέρωση ασφαλείας, καθώς οι κυβερνοεγκληματίες ανακάλυψαν ένα zero-day (CVE-2015-0313) και δημιούργησαν ένα exploit που χρησιμοποιείται ενεργά εναντίον των χρηστών του Internet Explorer και του Mozilla Firefox σε οποιαδήποτε έκδοση των Windows.
Τα δύο πρώτα exploits διανέμονται μέσω του Angler, ενώ το τρίτο διανέμεται μέσω του Hanjuan exploit kit, σύμφωνα με τον ανεξάρτητο ερευνητή Kafeine.
Ερευνητές ασφαλείας από τη Cisco παρακολουθούν τη δραστηριότητα του Angler και παρατήρησαν ότι με το CVE-2015-0311, η εκστρατεία ξεκίνησε στις 26 Ιανουαρίου ενώ οι πιο δραστήριες μέρες ήταν στις 28 και 29 Ιαν.
Διαπίστωσαν ότι οι εγκληματίες του κυβερνοχώρου χρησιμοποίησαν πολλαπλά στρώματα των subdomains, προκειμένου να αποφύγουν τον εντοπισμό τους. Κατά τη διάρκεια της έρευνας, τα 1.800 περίπου domains που σχετίζονται με τις ιστοσελίδες με το malware και τα exploits έχουν εντοπιστεί από τη Cisco.
Η στρατηγική που χρησιμοποιείται από τους επιτιθέμενους φαίνεται να περιλαμβάνει την παραβίαση μεγάλου αριθμού λογαριασμών των εγγεγραμένων χρηστών και τη σύσταση subdomains για την παράδοση των κακόβουλων αρχείων.
Η Cisco αναφέρει ότι το μεγαλύτερο μέρος των λογαριασμών που ελέγχεται από τους εγκληματίες του κυβερνοχώρου έχουν πραγματοποιήσει την εγγραφή μέσω του καταχωρητή και της web hosting εταιρείας GoDaddy. Μπορεί να φαίνεται ότι αφορά σε έναν μικρό αριθμό, αλλά πολλοί από τους λογαριασμούς κατέχουν περισσότερα από 45 μοναδικά domains, γεγονός το οποίο αυξάνει σημαντικά τα μέσα διανομής του malware.
Ο εντοπισμός των κακόβουλων επιθέσεων είναι ιδιαίτερα δύσκολος, επειδή οι διαφημίσεις παρέχονται από νόμιμα διαφημιστικά δίκτυα και στις περισσότερες των περιπτώσεων, σε κάθε χρήστη παρέχεται ένα διαφορετικό banner, ανάλογα με τη γεωγραφική θέση, τα ενδιαφέροντα, το πρόγραμμα περιήγησης που χρησιμοποιεί καθώς και άλλες παραμέτρους.
Σύμφωνα με τη Cisco, το Angler exploit kit είναι δραστήριο αρκετό καιρό και συνεχίζει να αλλάζει ώστε να αποφεφχθεί ο εντοπισμός και κρίνοντας από το μήνα Ιανουάριο, ενδέχεται να έχει συμμετάσχει σε μεγάλες επιθέσεις κατά τη διάρκεια του έτους.
