BlackHole: Kit Exploit Ressurge Ligado a Ataques do Tipo "Drive-by Download"

Estamos praticamente no final do ano de 2015, e de repente, vem a descoberta de que um cybercriminoso estaria usando o extinto kit exploit BlackHole de forma ativa, em campanhas de infecção drive-by download através de sites comprometidos. Assim, os pesquisadores da MalwareBytes perceberam que exploits Java e PDF puderam ser recolhidos pelo honeypot que preparam para esta operação, exploits estes que eles não viam durante muitos anos. Mas a partir de uma análise mais detalhada em relação à estrutura deste ataque, os profissionais ficaram bastante surpresos quando notaram que se tratava de uma investida do já conhecido e perigoso BlackHole. O criador desta praga, Paunch, foi preso em outubro de 2013 e enquanto os criminosos mantiverem a utilização do kit durante os próximos meses, o exploit será lentamente preterido e seu valor perdido por causa da falta de desenvolvimento.


Os novos ataques drive-by download, que foram detectados no último fim de semana, apresentam a mesma estrutura que o BlackHole original, mesmo reutilizando antigos exploits voltados para PDF e Java. A única diferença é a carga de malware a ser lançada, pois esta é atual e apresenta uma baixíssima taxa de detecção no VirusTotal. O servidor usado para hospedar a infra-estrutura do exploit passa a ser totalmente navegável. Embora os exploits sejam antigos, provavelmente ainda há computadores vulneráveis, e que poderiam ser facilmente comprometidos pelas atividades da praga. Além disso, os pesquisadores observaram que o responsável por trás desta edição do BlackHole estava trabalhando em novas "landing pages", por isso é possível que haja mudanças adicionais no futuro.


Saiba Mais:

[1] Malware Bytes Official Security https://blog.malwarebytes.org/exploi...-live-attacks/