Le code malveillant Angler aurait déjà infecté plus de 90.000 sites Internet dont 30 présents dans le top 100.000 d’Alexa.

AEK, connu aussi sous le nom d’Angler Exploit Kit, n’a pas fini son petit bonhomme de chemin. Comme l’indiquent les analyses de Palo Alto Networks, déjà 90.000 sites Internet ont été touchés par ce code pirate.

Dans cette liste, 30 serveurs web sont placés dans le top 100.000 d’Alexa, soit des millions de cibles potentielles pour le logiciel malveillant. Une opération parfaitement orchestrée. AEK se met à jour périodiquement, et cela sur l’ensemble des sites corrompus. Le script caché sur les sites se déclenche au bon vouloir des « contrôleurs », rendant sa détection très difficile.

Du 5 au Novembre 2015, 90 558 domaines Internet uniques étaient déjà infectés et utilisés par AEK. Le 14 décembre, seulement 2 850 sites étaient considérés comme dangereux pour les sondes de détections d’espaces malveillants.

L’attaque se fait par le biais d’Internet Explorer et d’une version flash non mise à jour (Ce qu’à fait Adobe, d’urgence, en décembre). La nouvelle version d’AEK s’attaque aussi à Firefox et Chrome.

Comme un grand nombre de kits pirate, Angler Exploit Kit vise les internautes selon une géolocalisation, par l’IP, décidée par le pirate. AEK se charge ensuite de télécharger une charge numérique dans le pc de sa victime. La plupart du temps, un ransomware.