Angler Exploit Kit per diffondere i ransomware

Si è sempre considerato che il vettore di infezione per eccellenza dei ransomware fosse un allegato di posta elettronica, la realtà invece è decisamente peggiore.

La cattiva notizia è che è possibile infettarsi con un ransomware semplicemente aprendo una pagina web che è stata compromessa.

E’ stato documentato che alcuni fra i più temuti ransomware come TeslaCrypt vengano veicolati utilizzando Angler Exploit Kit.

 Angler Exploit Kit sfrutta le vulnerabilità note per infettare le macchine ed eseguire operazioni malevole sulle vittime, incluso il drive-by download, che permette di scaricare ed eseguire sul computer della vittima un altro malware.

La pericolosità di questo Kit è facilmente comprensibile quando si elencano alcune delle applicazioni interessate dalle vulnerabilità sfruttate: Adobe Flash Player, Microsoft Silverlight, Java. Applicazioni che vengono eseguite sulla maggior parte dei computer.

La diffusione del ransomware tramite questo Exploit Kit avviene prima andando ad infiltrare un sito web con degli javascript o dei file di adobe flash.

Quando il sito web (detto landing page) viene visitato dall’utente, se le applicazioni soffrono delle vulnerabilità che il kit riesce a sfruttare, avviene l’infezione tramite il malware Bedep che effettua il download del ransomware.

Il miglior modo per prevenire questi attacchi è provvedere ad installare regolarmente gli aggiornamenti delle applicazioni, e questa è una nota dolente nella sicurezza informatica.

Più o meno la maggior parte dei computer installa le patch per il sistema operativo, windows update svolge questa funzione, ma quasi nessuno lo fa per le applicazioni esponendosi a rischi concreti.

4 Maggio 2016