Компания Symantec решила обратить внимание общественности на новый активно используемый злоумышленниками набор эксплойтов Black Hole Exploits Kit. Вредоносная активность BlackHole начала проявляться в конце прошлого года, и уже сейчас по наблюдению Symantec, ежедневно более 100 000 компьютеров становятся его жертвами. По распространению BlackHole сравним с уже давно известными наборами эксплоитов Neosploit и Phoenix. Учитывая источники распространения и русскоязычность веб-интерфейса системы можно предположить, что BlackHole является разработкой отечественных программистов. Интерфейс системы управления Black Hole выполнен с использованием технологии Ajax, что обеспечивает этому набору привлекательный товарный вид. Годовая лицензия на поддержку и использование Black Hole Toolkit составляет около $1500. В программном арсенале содержатся эксплойты на наиболее распространенные типы уязвимостей: Java, HCP (CVE-2010-1885), PDF, MDAC и др.. По утверждению разработчиков Black Hole эффективность набора эксплоитов достигает около 10%. Как и в большинстве подобных случаях, заражение пользовательской системы происходит в момент посещения веб-сайта, содержащего скрытое iframe-внедрение. Отличительной особенностью этого набора эксплоитов является применяемый криптоалгоритм, которым шифруется код эксплоитов, получаемый через iframe из контролирующего сервера, что усложняет процесс обнаружения вредоносной активности антивирусами. Обнаруженный образец применения Black Hole Exploits Kit, при помощи эксплоитов на скомпрометированную систему устанавливает троян Trojan.Carberp, который обеспечивает базовый сбор информации о зараженной системе и поддерживает связь с управляющим центром. Несмотря на то, что троян Trojan.Carberp известен с октября 2010 года, его модификации успешно обходят системы обнаружения антивирусов. После заражения и регистрации в управляющем центре, троян получает три основных модуля: система подавления антивирусной защиты - "stopav.plug", модуль очистки системы от зловредов-конкурентов "miniav.plug", "passw.plug" - система мониторинга посещаемых веб-сайтов и вводимых логинов/паролей пользователя системы. Далее выполняется загрузка двух исполняемых файлов, один из которых является трояном Hiloti (Trojan.Zefarch), а второй фальшивым антивирусом. Таким образом, зараженная система переходит под управление управляющего центра Black Hole. Как отмечают разработчики набора эксплойтов, Black Hole Exploits Kit является всего лишь системой сетевого тестирования компьютера на возможность несанкционированного проникновения.
Источник