Het kat- en muisspel tussen security-experts en cybercriminelen die Angler inzetten is los. Die extreem populaire exploitkit is ongrijpbaar voor detectiesystemen. De kit schakelt aan de lopende band met hostnames en IP-nummers, doet aan domain shadowing, heeft veel anti-sandbox-trucs en maakt dankbaar gebruik van actuele zerodays, zoals die in Flash uit de Hacking Team-hack. Wat de beveiligingsonderzoekers extra motiveert in hun opsporing.

Campagne gespot

Zo ook Nick Bilogorskiy van Cyphort, dat Advanced Threat Defense (ATD) oplossingen biedt. Hij dook de afgelopen maand in de duistere wereld van malvertising. Hij ontdekte een gigantische malvertising-campagne die misbruik maakt van online marketing bedrijf E-planning. De afgelopen tien dagen kregen zo zeker 10 miljoen mensen besmette advertenties geserveerd, via een hele reeks buitenlandse domeinen.

Die leiden mensen om naar websites die zijn opgetuigd met Angler. De redirection code in de malicieuze advertenties gebruikte SSL/TLS (Secure Sockets Layer/Transport Layer Security) encryptie, wat de herkomst van het slachtoffer moet verhullen. Bilogorskiy heeft E-planning op de hoogte gebracht, het bedrijf werkt aan een oplossing.

PoS-Trojan

Overigens duikt Angler ook op in de wereld van de kassasystemen. Onderzoekers van Trend Micro hebben een PoS-Trojan gevonden die gebruik maakt van het fileless installatievermogen van de Angler-exploitkit om detectie te vermijden.

Wie zitten er achter malvertising en hoe werkt het? Lees meer hierover in dit achtergrondartikel op Computerworld.