Blackhole Exploit Kit 2.0 tarnt sich besser

Originalartikel von Jonathan Leopando, Technical Communications

m September 2012 brachten die Kriminellen eine neue Version des Blackhole Exploit Kits heraus. Seither hat es weitere Upgrades und neue Entwicklungen gegeben. Bereits Anfang Januar starteten sie eine neue Spam-Kampagne .

Upgrade auf Blackhole Exploit Kit 2.0

Der Untergrund hat die älteren Versionen 1.x des Blackhole Exploit Kits ad acta gelegt und verwendet nun ausschließlich die neue Version 2.0. In der neuen Version fällt am meisten auf, dass die URLs nicht mehr die acht Zeichen langen Zufallszeichenketten enthalten, die Teil der Version 1.x waren. Diese Zeichenketten hatten es Bedrohungsforschern leicht gemacht, Websites, die mit unterschiedlichen Spam-Kampagnen in Verbindung standen, aufzuspüren und zu überwachen.

Auch fügten die Autoren dem Exploit Kit neue, bekannt gewordene Schwachstellen hinzu. So haben sie die kürzlich in die Schlagzeilen geratene Java Zero-Day-Lücke  nur Tage nach ihrem Bekanntwerden mit aufgenommen. Es ist offensichtlich, dass die Kriminellen ihr Toolkit permanent verfeinern, und hier vor allem die Fähigkeit, der Entdeckung zu entgehen. Aufgrund dieser Eigenschaften wurde das Blackhole Exploit Kit auch dafür genutzt, Malware für den Informationsdiebstahl, wie etwa ZeuS- und Cridex-Varianten, zu verteilen.

Häufigere Anwendung unterschiedlicher Infektionsabläufe

Die Experten haben festgestellt, dass verschiedene Browser auch mit unterschiedlichen Infektionsabläufen angegriffen werden. Beispielsweise kann es vorkommen, dass Chrome-Nutzer bösartige Dateien erhalten, und die Anwender von Firefox oder Internet Explorer nicht.

Noch ist nicht ganz klar, wozu diese Vorgehensweise dient, vermutlich aber sollen dadurch die Bedrohungsprofile möglichst „dünn“ gehalten werden. Klar ist aber, dass dies die Analyse durch die Bedrohungsforscher erschwert, denn sie müssen mehr Testfälle prüfen.

 Höhere Anzahl kleinerer Spam-Durchläufe

Es zeichnet sich der Trend zu mehr Spam-Durchläufen ab, wobei jeder Lauf für sich kleiner ausfällt. Damit verringert sich das Spam-Gesamtvolumen nicht, doch die Reichweite jedes einzelnen Angriffs sehr wohl.

In Kombination mit den oben beschriebenen Entwiciklungen deutet alles darauf hin, dass das Angriffsprofil dünner ausfallen soll, weil nicht jeder „kleine“ Angriff die Aufmerksamkeit von Sicherheitsspezialisten und Sicherheitsanbietern erregt – für die Nutzer jedoch bleibt die Gefahr genauso hoch.

Schneller Wechsel von Landing Pages

Im November war für eine Weile zu beobachten, dass Domänen für Landing Pages sehr schnell wechselten, alle paar Minuten ließ sich eine neue Domäne entdecken.

Auch das könnte dazu gedient haben, den Forschern und Sicherheitsanbietern das Leben schwer zu machen. Gleichzeitig aber ist dies auch eine Last für die Angreifer (sie müssen mehrere Domänen erzeugen), deshalb ließen sie diese Taktik fallen.

Fazit

Die Blackhole-Änderungen zielen alle darauf ab, die Malware und ihre Aktivitäten besser zu tarnen. Dies erschwert die Arbeit der Bedrohungsforscher, doch für die Nutzer bleibt die Gefahr gleich groß.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*