Una nuova versione è comparsa a dicembre: la minaccia è ancora più difficile da individuare

Sebbene non sia l’Exploit kit più sofisticato (il trono spetta ad Angler), Nuclear Pack rappresenta comunque una minaccia da non sottovalutare secondo Websense: è stato utilizzato in campagne ad alto impatto, come la compromissione di AskMen, o dagli ideatori di Operation Windigo. L’exploit kit in questione, ulteriormente potenziato per evitare di essere rilevato, consente ai criminali di installare qualunque malware ed è uno dei veicoli primari per gli 0-day e per altre vulnerabilità.  La minaccia colpisce praticamente tutti i settori, dal momento che è usato spesso in compromissioni ad alto volume.

Nuclear Pack trend

Ancora più forte

Nel mese di dicembre, è apparsa una nuova versione di Nuclear Pack. Anche se è stata utilizzata solo su bassa scala, è molto probabile che questa nuova versione sostituirà completamente quella precedente. Come per ogni nuova release di un software, la nuova versione di Nuclear Pack ha nuove funzionalità e diversi miglioramenti. La più grande novità è l’utilizzo completamente diverso delle tecniche di offuscamento per nascondere il codice malevolo dalle soluzioni di sicurezza.

L’exploit kit ora usa un secondo strato elementare di de-offuscamento. In altre parole, c’è un altro livello di offuscamento. E’ molto semplice e comprensibile, ma probabilmente utile contro i prodotti di sicurezza che possono affrontare solo un livello di offuscamento. Per aumentare sempre di più il livello di infezione, Nuclear Pack è in grado di rilevare diverse soluzioni anti-virus.

In passato, Nuclear Pack usava anche semplici pattern URL specifici per questo exploit kit; con la nuova versione non è più così. Inoltre, un’ampia sezione della library originaria PluginDetect è stata eliminata, lasciando solo l’essenziale e rendendo il Nuclear Pack più efficiente.