A página de destino obtém um "stub" de chaves e dados necessários para executar a exploração a partir do servidor, cada vez que ele for executado. O "stub" de informação só é enviado para as vítimas que fazem um "broadcast" de navegadores vulneráveis, e é protegido com XTEA ao longo de um homebrew Diffie-Hellman. Atualmente, o kit exploit Angler está usando o navegador IE para explorar para disseminar o ransomware Cryptowall e assim comprometer vítimas inocentes. A investida pode ser realizada com êxito porque a vulnerabilidade permite ao invasor obter os mesmos direitos que o usuário atual. Se o usuário atual estiver conectado com direitos administrativos do usuário, o invasor que explorar com êxito essa vulnerabilidade poderá assumir o controle total de um sistema afetado. Além disso, um invasor poderia então instalar programas; exibir, alterar ou excluir dados; ou até mesmo criar novas contas dando plenos direitos de usuário. Essa explicação foi repassada pela equipe da Microsoft. Um ponto importante a ser ressaltado, é que todas as descobertas feitas pelos pesquisadores da FireEye foram confirmadas pelo pesquisador de malware "Kafeine".
Saiba Mais:
[1] Net Security http://www.net-security.org/malware_news.php?id=3087