Новый функционал в Angler усложняет отслеживание источников вредоносных атак

Разработчики набора эксплоитов Angler прилагают все больше усилий для усложнения процесса отслеживания источников вредоносных кампаний. Как  сообщил  исследователь безопасности Йонатан Клийнсма (Yonathan Klijnsma), Angler теперь способен разрывать цепь заголовков referer, играющих важную роль в блокировке вредоносных операций.

В ходе кампаний киберпреступники внедряют вредоносную рекламу в легальную рекламную сеть и таким образом заманивают пользователей на сайты, содержащие наборы эксплоитов. Эти наборы предназначены для эксплуатации уязвимостей в различных приложениях (Flash Player, Java, Silverlight и пр.) и инфицирования целевых систем разнообразными вредоносами. Зачастую жертвы атак попадают на сайт, содержащий набор эксплоитов, предварительно пройдя через несколько переадресаций. Именно поэтому заголовки referer настолько полезны при отслеживании источника атаки.

Как обнаружил Клийнсма, новый функционал Angler способен разрывать цепь referer, что в значительной мере усложняет определение источника вредоносных атак. Специалист рассказал журналистам издания Security Week, что в настоящее время новая техника используется практически во всех текущих кампаниях с применением Angler.

В ходе одной из атак, проанализированных Клийнсма, злоумышленники разместили вредоносную рекламу на web-сайте, специализирующемся на контенте для «взрослых». Как выяснилось в ходе исследования, ни редиректор набора эксплоитов, ни целевая страница не содержали заголовки referer. По словам эксперта, злоумышленникам удалось достичь этого при помощи использования 2-шаговой системы, эксплуатирующей бреши в web-браузерах, и добавления на страницу нового DIV-элемента без атрибута 'src’. Клийнсма уже сообщил о проблеме разработчикам браузеров Internet Explorer, Chrome и Firefox, которые пока никак не прокомментировали ситуацию.