Un kit de exploits es una herramienta de programación que permite a alguien que no tiene experiencia en la escritura de código de software crear, personalizar y distribuir malware. Los kits de explotación se conocen por varios otros nombres, incluido el kit de infección, el kit de crimeware, el kit de ataque de bricolaje y el kit de herramientas de malware.
Los kits de exploits tienen interfaces gráficas de programas de aplicación (API) que permiten a los usuarios no técnicos gestionar ataques sofisticados capaces de robar datos corporativos y personales, orquestar exploits de denegación de servicio (DoS) o crear botnets. La mayoría de los kits son creados por programadores profesionales que aprovechan las vulnerabilidades del lado del cliente y del navegador que ya se han divulgado públicamente. Los kits, que están disponibles comercialmente en foros de discusión clandestinos, pueden costar desde $ 100 hasta $ 10,000.
Irónicamente, las altas ganancias que pueden obtenerse vendiendo kits de crimeware han llevado a los desarrolladores a modelar su modelo de distribución de software a partir del de los proveedores de software legítimos. Muchos kits de crimeware tienen políticas de reembolso claramente definidas, opciones de licencia, componentes de administración de derechos digitales (DRM) y servicio al cliente.
Aunque los kits de crimeware suelen ser propietarios, comparten varias cosas en común, entre ellas:
- Un componente de construcción de apuntar y hacer clic.
- Disposiciones para crear amenazas en muchos idiomas diferentes.
- Un panel ejecutivo basado en la web para administrar los datos y la potencia de procesamiento obtenida de las máquinas infectadas.
- Una interfaz que facilita la distribución de malware a través del correo electrónico, anuncios en línea y sitios web de redes sociales.
Los kits de crimeware más conocidos incluyen Angler, Nuclear, RIG, Sweet Orange, Zeus, MPack, Neosploit, BlackHole, Nukesploit P4ck, Stegano y Phoenix.
Este video de XPS Tech proporciona una descripción general de los kits de explotación.
<
Ver también: kit de phishing