Атаки с применением обновленного набора эксплоитов в настоящее время наблюдаются в Китае.
В наборе эксплоитов Angler появилась поддержка уязвимости в Flash, исправленной в декабре прошлого года. Речь идет об ошибке CVE-2015-8651 , позволяющей выполнить произвольный код с помощью специально сформированного файла с расширением SWF.
Как сообщил китайский исследователь безопасности под псевдонимом ThreatBook, обновленная версия набора эксплоитов используется для осуществления фишинг-атак в рамках вредоносной компании DarkHotel. Злоумышленники атакуют компьютеры высокопоставленных чиновников с помощью скомпрометированных гостиничных сетей Wi-Fi.
В ходе эксплуатации уязвимости на ПК жертвы загружается вредоносное ПО с именем «update.exe». Вредонос замаскирован под набор утилит для генерации ключей SSH. Троян способен обнаруживать установленное на компьютере антивирусное ПО и обходить песочницы.
Набор эксплоитов также используется для распространения вымогательского ПО Cryptowall. По словам исследователя безопасности Kaffeine, обновленная версия Angler появилась совсем недавно и уже получила широкое распространение. Эксплоит затрагивает Flash версии 20.0.0.235.
Конкурентные наборы эксплоитов в настоящее время не внедрили эксплоит для Flash. К примеру, Nuclear, Magnitude и Neutrino до сих пор используют исправленную в октябре прошлого года уязвимости CVE-2015-7645 , в то время как в RIG и Sundown применяется эксплоит для исправленной в июле 2015 года уязвимости CVE-2015-5122 .