http://vintegris.info/exploit-kits-001/
traducido por Federico Dilla
Exploit kits: a dynamic and dangerous market
by Vintegris.info • March 25, 2015
The exploit kits are the fundamental tools for malware distributors, who buy or rent to win permeability in spreading their malicious files.
It is no wonder then that the developers of the "dark side" of the web are always trying to get into high-demand market is currently cornered by Angler, Nuclear, FlashEK, Party, SweetOrange, among other exploit kits.
In this attempt to enter the hall of fame of the exploit kits we saw grow and NITERIS Null Hole, similarly to Astrum and Archie.
The first was identified, when it hit a large number of Finnish visitors:
The new favorite for cybercriminals is Astrum, which was initially fitted with exploits for various vulnerabilities Reader Flash, Silverlight, IE and Adobe. In mid-October, Flash failure also was added and Nuclear Angler included.
It is common to see that use obfuscation techniques in their pages to detect hidden code analysis tools.
The history of the development of the exploit kit known as Archie followed a natural evolution by adding all the improvements. Equipped with exploit code copied from Metasploit modules, first appeared in July when he was a focus of attack Flash.
Less than a month later evolved as Silverlight and exploit for Internet Explorer. Finally, in November, he received two new exploits for Flash and IE.
The first pages were easily identifiable target, but subsequent URL patterns for landing pages became more complex and less obvious.
Mostly they have been used to trick users in the United States and Latin America through the Trojan "clicker" a type of malware that is hidden within the affected system and attempts to connect to specific sites, usually regularly, in order to artificially increase the number of visitors.
Yago Gómez Trenor - Security Analyst Vintegris
Exploit kits: un mercado dinámico y peligroso
Los exploit kits son las herramientas fundamentales para los distribuidores de malware, que los adquieren o alquilan para ganar permeabilidad en la difusión de sus archivos maliciosos.
No es de extrañar entonces que los desarrolladores del “lado oscuro” de la web siempre estén tratando de entrar en un mercado de alta demanda que actualmente está copado por Angler, Nuclear, FlashEK, Fiesta, SweetOrange, entre otros exploit kits.
Dentro de este intento de entrar en el hall de la fama de los exploit kits vimos crecer a Null Hole y NITERIS, de igual forma que Astrum y Archie.
El primero fue identificado, al chocar contra un número considerable de usuarios finlandeses:
El nuevo favorito de los cibercriminales es Astrum, que fue inicialmente equipado con exploits para varias vulnerabilidades del Reader de Flash, Silverlight, IE y Adobe. A mediados de octubre, se incluyó un fallo de Flash que también se añadió en Angler y Nuclear.
Es común ver que utilizan técnicas de ofuscación en sus páginas de destino para ocultar código que detectan las herramientas de análisis.
La historia del desarrollo del exploit kit conocido como Archie siguió una evolución natural agregando todas las mejoras. Equipado con un código de explotación copiado de módulos Metasploit, primero apareció en julio cuando tenía como foco de ataque a Flash.
Menos de un mes después evolucionó como exploit para Silverlight y también para Internet Explorer. Finalmente, en noviembre, recibió dos nuevos exploits para Flash e IE.
Las primeras páginas de destino eran fácilmente identificables, pero los patrones de URL posteriores para las páginas de destino se hicieron más complejas y menos obvias.
En su mayoría se han utilizado para engañar a los usuarios de los Estados Unidos y América Latina por medio del troyano “clicker”: un tipo de malware que se esconde dentro del sistema afectado y trata de conectarse a sitios web específicos, por lo general de forma regular, con el fin de aumentar artificialmente el número de visitantes.
Yago Gómez Trenor – Analista de Seguridad de Vintegris
