Nuove Attività Exploit-Kit Angler



Proto: N030315.

Nell’ultimo periodo stiamo rilevando attività relativa a nuove varianti della minaccia Angler in grado di installare malware di varia natura sulle macchine client attraverso tecniche di infezione di tipologia DriveBy Download.
Angler è un Exploit-Kit utilizzato per distribuire software malevolo attraverso lo sfruttamento di vulnerabilità e 0-day presenti su Browser e su componenti aggiuntivi quali Flash Player, Java e Silverlight comunemente utilizzati dagli utenti che navigano in siti e portali Web.

La minaccia utilizza tecniche di Domain Shadowing registrando numerosi domini di terzo e quarto livello (eg. xwaz.acme.com, data1.vww.acme.com) presso server DNS e domini compromessi. La seguente immagine illustra le principali caratteristiche del funzionamento di questa tecnica utilizzata dalle varianti dell’exploit-kit Angler (Courtesy of Cisco Talos):












I rilievi registrati relativi alla minaccia Angler mostrano come il processo di infezione NON risulti rilevabile dalle soluzioni Anti-Virus in quanto i malware scaricati dall’exploit-kit vengono eseguiti direttamente in memoria senza essere prima salvati sul disco del pc della vittima.  Per questa ragione Yoroi consiglia di aggiornare e mantenere aggiornati Browser Web e componenti aggiuntivi di terze parti quali Flash Player, Java e Silverlight in uso dagli utenti.

Yoroi consiglia di aumentare il livello di guardia all’interno della vostra organizzazione, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati server. Yoroi consiglia di mantenere alto il livello di consapevolezza dei vostri utenti, avvisandoli periodicamente delle minacce in corso. Yoroi consiglia l’utilizzo di un team di esperti per salvaguardare la sicurezza del perimetro cyber della vostra organizzazione.

Per avere un Indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index