После ареста предполагаемого создателя BlackHole многие задались вопросом, какой же набор эксплоитов сможет стать ему достойной заменой. Похоже, что такой инструмент нашелся – им стал Angler, используемый для эксплуатации недавно обнаруженных уязвимостей нулевого дня в Adobe Flash Player.
По данным Cisco, с помощью данного набора эксплоитов было скомпрометировано порядка 1800 доменов. Angler использовал пять IP-адресов 85.25.107.126, 207.182.149.14, 178.32.131.248, 178.32.131.185 и 85.25.107.127. "Эти домены связаны с целевыми страницами и эксплоитами. Ни один из фактических корневых доменов не был скомпрометирован, и все они зарегистрированы на законном основании", - сообщил эксперт Cisco Ник Биасини (Nick Biasini).
Последний всплеск атак с использованием Angler пришелся на 28-29 января нынешнего года. Всего за 48 часов с помощью этого набора эксплоитов было инфицировано порядка 1400 систем, пока атаки не сошли на нет двумя днями позднее.
По словам Биасини, некоторые из доменов "засветились" только один раз, а потом были заброшены. "Большинство взломанных доменов зарегистрированы GoDaddy, и, похоже, что скомпрометированными оказались свыше пятидесяти учетных записей. Многие аккаунты управляют несколькими доменами, а под контролем некоторых находится свыше 45 доменов", - отметил эксперт.
В Cisco сообщили, что Angler беспрестанно меняется и развивается, создавая новые варианты существующих эксплоитов.
