Η είδηση της κυκλοφορίας του
καινούριου Blackhole Exploit kit v2.0 φαίνεται πως δεν άφησε αδιάφορους
τους ερευνητές ασφάλειας πληροφοριακών συστημάτων αλλά και τους hackers.
Η χρησιμοποίηση του νέου εργαλείου για την μόλυνση των χρηστών ανακαλύφθηκε από έναν ερευνητή ασφαλείας όταν έλαβε ένα μήνυμα spam, το οποίο υποτίθεται ότι ήταν μια υπενθύμιση για τιμολόγιο της εταιρείας ADP και οδηγούσε σε κακόβουλη σελίδα με Blackhole Exploit kit v2.0.
Το μήνυμα ήταν αυτής της μορφής:
‘’Subject: ADP Invoice Reminder
Your latest ADP Dealer Services Invoice is now available to view or pay online at ADP Online Invoice Management .
To protect the security of your data, you will need to enter your ID and password, then click on Access your Online Invoice Management account.
Total amount due by September 13, 2012
$17202.04
If you have already sent your payment please disregard this friendly reminder and Thank you for choosing ADP.
Questions about your bill?
Contact David Nieto by Secure Mail.
Note: This is an automated email. Please do not reply.’’
Αφού ο ανυποψίαστος χρήστης έκανε κλικ στο σύνδεσμο που παρέχεται στο μήνυμα, θα οδηγούταν προς την κακόβουλη σελίδα μέσα από πολλαπλές τοποθεσίες. Στο τέλος της ανακατεύθυνσης, το θύμα θα φτάσει σε σελίδα με αυτή τη μορφή, “46,249. * .122/links/systems-links_warns.php”.
Είναι μια σελίδα με Blackhole Exploit kit v2.0, όπου σε αντίθεση με την προηγούμενη έκδοση του BH, που είχε αυτή τη μορφή, “main.php? Page = [random_number]” στο τέλος του συνδέσμου, (url) η νέα έκδοση χρησιμοποιεί συνδυασμό σχετικών λέξεων.
Να υπενθυμίσουμε ότι με τη λειτουργία του Dynamic URL, στη καινούρια έκδοση του BH 2.0, η ανίχνευση των συνδέσμων που δημιουργούνται και στοχεύουν τους χρήστες είναι αρκετά δύσκολη διότι η διάρκεια της ισχύς τους είναι για μερικά μόνο δευτερόλεπτα.
Μέχρι στιγμής ο παραπάνω σύνδεσμος και άλλες τρεις IP διευθύνσεις με BH 2.0 εμφανίζουν το σφάλμα 404 κατά τη στιγμή της επίσκεψης. Μια μόνο εμφανίζει τα στοιχεία της εκμετάλλευσης αλλά και αυτή μετά από λίγα δευτερόλεπτα εμφανίζει το ίδιο σφάλμα.
blue-hornet team
Η χρησιμοποίηση του νέου εργαλείου για την μόλυνση των χρηστών ανακαλύφθηκε από έναν ερευνητή ασφαλείας όταν έλαβε ένα μήνυμα spam, το οποίο υποτίθεται ότι ήταν μια υπενθύμιση για τιμολόγιο της εταιρείας ADP και οδηγούσε σε κακόβουλη σελίδα με Blackhole Exploit kit v2.0.
Το μήνυμα ήταν αυτής της μορφής:
‘’Subject: ADP Invoice Reminder
Your latest ADP Dealer Services Invoice is now available to view or pay online at ADP Online Invoice Management .
To protect the security of your data, you will need to enter your ID and password, then click on Access your Online Invoice Management account.
Total amount due by September 13, 2012
$17202.04
If you have already sent your payment please disregard this friendly reminder and Thank you for choosing ADP.
Questions about your bill?
Contact David Nieto by Secure Mail.
Note: This is an automated email. Please do not reply.’’
Αφού ο ανυποψίαστος χρήστης έκανε κλικ στο σύνδεσμο που παρέχεται στο μήνυμα, θα οδηγούταν προς την κακόβουλη σελίδα μέσα από πολλαπλές τοποθεσίες. Στο τέλος της ανακατεύθυνσης, το θύμα θα φτάσει σε σελίδα με αυτή τη μορφή, “46,249. * .122/links/systems-links_warns.php”.
Είναι μια σελίδα με Blackhole Exploit kit v2.0, όπου σε αντίθεση με την προηγούμενη έκδοση του BH, που είχε αυτή τη μορφή, “main.php? Page = [random_number]” στο τέλος του συνδέσμου, (url) η νέα έκδοση χρησιμοποιεί συνδυασμό σχετικών λέξεων.
Να υπενθυμίσουμε ότι με τη λειτουργία του Dynamic URL, στη καινούρια έκδοση του BH 2.0, η ανίχνευση των συνδέσμων που δημιουργούνται και στοχεύουν τους χρήστες είναι αρκετά δύσκολη διότι η διάρκεια της ισχύς τους είναι για μερικά μόνο δευτερόλεπτα.
Μέχρι στιγμής ο παραπάνω σύνδεσμος και άλλες τρεις IP διευθύνσεις με BH 2.0 εμφανίζουν το σφάλμα 404 κατά τη στιγμή της επίσκεψης. Μια μόνο εμφανίζει τα στοιχεία της εκμετάλλευσης αλλά και αυτή μετά από λίγα δευτερόλεπτα εμφανίζει το ίδιο σφάλμα.
blue-hornet team