Angler Exploit Kit (AEK) est redoutable, comme le montre les dernières analyses de la firme Palo Alto Networks, qui recense déjà près de 90 000 sites Web infectés, dont 30 présent dans le top Alexa avec des millions de visiteurs…
L’étude publiée par Palo Alto Networks est très complète et s’accompagne de nombreuses explications techniques. La liste de sites Internet touchés par AEK est très longue, et ne cesse de grandir. Parmi les 90 000 domaines recensés, 30 font parti du top million d’Alexa, et représentent donc des cibles potentielles en grand nombre pour le logiciel malveillant. Angler Exploit Kit est bien rodé et se met à jour régulièrement sur les espaces Web infectés, rendant sa détection ardue du fait des désactivations périodiques de la diffusion des scripts malveillants.
A fin novembre 2015, 90 558 domaines uniques exactement étaient déjà infectés et exploités par AEK. Un mois plus tard, seuls 2 850 sites étaient toujours considérés comme dangereux par les scanners de sécurité ! Voila qui démontre parfaitement la volatilité du phénomène AEK.
Comme le montre le graphique qui suit, le nombre de sites infectés quotidiennement est en constante augmentation :
L’infection des machines des internautes visitant les sites corrompus se fait via une vulnérabilité d’Internet Explorer et de Flash Player (patché par Adobe en urgence fin 2015), mais aussi via les navigateurs Mozilla Firefox et Google Chrome depuis la dernière version du kit d’exploitation pirate. Inutile de préciser que Angler Exploit Kit est commandé à distance avec précision, selon les bons vouloir de son opérateur : les infections s’enclenchent uniquement lorsque les conditions définies par ce dernier sont actives, par exemple le pays où le visiteur est géolocalisé via son adresse IP.
Une fois une machine sous le contrôle d’AEK, le contrôleur peut injecter à sa guise des malwares au sein de celle-ci, principalement des logiciels espions et des ransomwares. Le clavaire commence alors pour la victime…
A noter que les kits d’exploit RIG et Neutrino sont aussi en pleine croissance en ce début d’année 2016.