Blackhole Exploit Kit greift erneut an

Originalartikel von Romeo Dela Cruz, Threat Response Engineer

Das Blackhole Exploit Kit (BHEK) ist ein gutes Beispiel dafür, wie Hacker ihre Tools permanent weiter entwickeln, um die Gegenmaßnahmen der Sicherheitsanbieter außer Kraft zu setzen. So gab es kürzlich wieder Berichte über neue Angriffe des BHEK, bei denen der Exploit (von Trend Micro als JAVA_ARCAL.A identifiziert) die gerade gepatchte Java-Lücke CVE-2013-0431 ausgenützt hat.

Infolge der vielen Angriffe im Januar veröffentlichte Oracle ein außerplanmäßiges Sicherheits-Update, das aber offenbar nicht alle Lücken geschlossen hat. Der BHEK-Angriff beginnt mit einer Spam-Nachricht, die vorgibt, von PayPal zu kommen. Klickt der Anwender auf die in der Nachricht angegebene Identifikationsnummer, so wird er auf weitere Sites umgeleitet, bis er schließlich auf der Seite landet, die den verschlüsselten BHEK-Code enthält. Dieser Code sucht auf dem angreifbaren System nach Versionen von Adobe Reader, Flash Player und Java, um den dafür geeigneten Exploit (sowie die Playload) auf das System herunterzuladen.

Abb. 1. Beispiel einer gefälschten PayPal-Mail-Nachricht

Während der von Trend Micro durchgeführten Tests fand der BHEK-Code mehrere Versionen des Adobe Readers und lud eine bösartige pdf-Datei (TROJ_PIDIEF.MEX) herunter, die eine alte Lücke in CVE-2010-0188 ausnützt. Weitere Einzelheiten über den Infektionsweg liefert dieser Blogeintrag.

Die Bedrohungsforscher fanden heraus, dass das Ziel der Malware der Datenklau aus Browsern wie Google Chrome, Mozilla Firefox und Internet Explorer ist.

Figure 2. Die letzte Landing Page auf dem Infektionsweg

Über die Daten aus dem Smart Protection Network ließ sich feststellen, welche Länder von diesem BHEK-Angriff am meisten betroffen waren. Am schwersten traf es die USA, gefolgt von Mexiko. Das ist insoweit überraschend, da Mexiko bei früheren Angriffen keine hohen Infektionsraten aufwies. Zu den weiteren betroffenen Ländern gehört Deutschland, Lettland, Großbritannien, Frankreich, Spanien, Italien, Japan und Australien.

Dieser jüngste Angriff mithilfe von CVE-2013-0431 lässt darauf schließen, dass die Bedrohung offensichtlich auf einen längeren Verbleib ausgerichtet ist. Für die Anwender bedeutet das regelmäßige Aktualisierung ihrer Systeme. Auch müssen sich User und Administratoren darüber im Klaren sein, dass die üblichen Spam- und Phishing-Gegenmaßnahmen gegen BHEK nicht wirksam sind. Details dazu liefert der Report “Blackhole Exploit Kit: A Spam Campaign, Not a Series of Individual Spam Runs“.

Tipps, wie Nutzer pdf-Dateien und Java sicher verwenden können, gibt es in den Blogeinträgen:

Zusätzliche Analysen von Rhena Inocencio, Threat rRsponse Engineer

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*