Blackhole 2.0 ist in der Beta-Testphase

Originalartikel von Jon Oliver, Software Architecture Director

Vor kurzem kursierte in den Untergrundforen und auf Pastebin die Nachricht, dass es eine neue Blackhole Exploit Kit-Version 2.0 (BHEK) gibt. Die Ankündigung war ursprünglich auf russisch, die englische Übersetzung lieferte Denis Laskov. Die Cyberkriminellen scheinen die Version 2.0 noch nicht vollständig „ausgerollt“ zu haben, doch gibt es Beweise dafür, dass zumindest Teile der neuen Version bereits beta-getestet werden.

In der Ankündigung wird explizit darauf hingewiesen, dass die Version Änderungen in der URL, die das Exploit Kit nutzt, erforderlich macht: „In der Version 1.* konnten die AV-Hersteller den Link zur schädlichen Payload leider erkennen. Der Link sah folgendermaßen aus: /Main.php?Varname=lgjlrewgjlrwbnvl2. In der neuen Version kann jeder den Link zur Payload selbst wählen, so etwa /news/index.php,/contacts. Derzeit kann kein Antivirus-Programm einen solchen Link abfangen.“

Die Sicherheitsforscher geben drei Beispiele von BHEK-Spam-Angriffen. Der erste nutzte den Namen der Federal Deposit Insurance Corporation (FDIC) eine klassische Infektionsroutine folgenden Formats:

hxxp://{compromised domain}/achsec.html
hxxp://{landing page}/main.php?page=0f123fe645ddf8d7

Die zwei anderen, eFax und ADP, nutzten das neue URL-Format:

hxxp://{compromised domain}/{8 random characters}/index.html
hxxp://{redirection domain}/{8 random characters}/js.js
hxxp://{landing page}/links/raising-peak_suited.php

Trotz des neuen Formats umfasst der interne Code dennoch Teile der Version 1.x. Weitere Einzelheiten zur Analyse gibt es hier.

Es spricht einiges dafür, dass die Autoren der Version 2.0 bestimmte Funktionen erst im Betatest prüfen, bevor sie die Version endgültig freigeben.

Trend Micros Smart Protection Network blockiert den Zugriff auf die bösartigen URLs mithilfe der Web Reputation Services. Der File Reputation Service entdeckt und löscht die Schädlingskomponente (JAVA_BLACOLE.ZXX, JAVA_BLACOLE.REP, JS_BLACOLE.UYT, TROJ_FAKEAV.KED und TROJ_REVETON.BEK).

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*