Киберпреступники продолжают активно пользоваться популярными наборами эксплоитов типа Angler или Nuclear. По словам специалиста компании CipherTechs Майкла Фрателло, хакерские группы, применяющие Angler, с помощью него зарабатывают около 60 миллионов долларов каждый год.
Сейчас Angler занимает лидирующие позиции на рынке наборов эксплоитов. Вторым по популярности у хакеров является набор эксплоитов Nuclear, который продолжает совершенствоваться. В том числе, в него были внедрены новые, более сложные и эффективные механизмы доставки полезной нагрузки, которые остались незамеченными для экспертов.
Основой для методов обнаружения вредоносного программного обеспечения, которые применяются сигнатурными антивирусами, являются цифровые отпечатки, также называющиеся хешами. Известные файлы могут быть опознаны по сигнатуре, при этом несущественно, являются ли они легитимными или нет. Суть проблемы в том, что антивирусы можно обойти с помощью полного изменения хеша файла, осуществляемого путем модификации нагрузки, добавления или удаления нескольких байтов.
Во избежание идентификации новыми версиями Nuclear используются достаточно эффективные методы. Даже если попытка заражения целевого компьютера закончилась неудачей, набором эксплоитов применяются механизмы, не позволяющие специалистам восстановить и изучить цепь инфицирования, которая используется Nuclear.
Кроме того, создателями набора эксплоитов была реализована возможность регистрации IP-адреса, что позволило Nuclear доставлять индивидуальную нагрузку на каждый отдельный IP-адрес, чтобы избегать обнаружения антивирусным программным обеспечением.