Nowy zestaw narzędzi do wykorzystania Whitehole pojawia się na podziemnym rynku

Nowy zestaw exploitów o nazwie Whitehole pojawił się na podziemnym rynku, dostarczając cyberprzestępcom jeszcze jednego narzędzia do infekowania komputerów złośliwym oprogramowaniem przez Internet, analitycy bezpieczeństwa od producenta oprogramowania antywirusowego poinformowali w środę.

Exploit kit to złośliwe aplikacje internetowe zaprojektowane do instalowania złośliwego oprogramowania na komputerach, wykorzystujące luki w przestarzałych wtyczkach do przeglądarek, takich jak Java, Adobe Reader lub Flash Player.

Ataki, które używanie takich zestawów narzędzi nazywa się "drive-by downloads" i nie wymaga żadnej interakcji z użytkownikiem, co czyni je jednym z najbardziej efektywnych sposobów dystrybucji złośliwe oprogramowanie. Użytkownicy generalnie są przekierowywani na strony ataków typu drive-by download podczas odwiedzania zainfekowanych stron internetowych.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Whitehole używa podobnego kodu do Blackhole, jednego z najpopularniejszych zestawów exploitów używanych dziś, ale ma pewne szczególne różnice, analitycy bezpieczeństwa Trend Micro powiedzieli w poście na blogu.

Po pierwsze, Whitehole zawiera exploity tylko dla znanych luk w Javie, a mianowicie: CVE-2011-3544, CVE-2012-1723, CVE -2012-4681, CVE-2012-5076 i CVE-2013-0422.

Najnowsze luki, CVE-2013-0422, zostały załatane przez Oracle w Java 7 Update 11, która została wydana jako aktualizacja awaryjna 13 stycznia w odpowiedzi na ataki drive-by download, które już wykorzystywały wadę. Pierwszy exploit CVE-2013-0422 został znaleziony w Cool Exploit Kit, wysokiej wersji Blackhole, ale exploit został później dodany do Blackhole.

Inne godne uwagi funkcje Whitehole obejmują zdolność do unikania wykrycia antywirusowego, zapobiegania Bezpieczne przeglądanie Google od wykrycia i zablokowania go, a także załadowanie do 20 szkodliwych plików naraz, powiedział badacz Trend Micro.

Whitehole jest wciąż rozwijany i obecnie działa jako wersja testowa. Jednak jego twórcy już teraz wynajmują swoje wykorzystanie innym przestępcom w cenach od 200 USD do 1800 USD, w zależności od ich natężenia ruchu.

Według badaczy Trend Micro, Whitehole jest używany do dystrybucji wariantu rootkita o nazwie ZeroAccess (lub Sirefef), którego celem jest zainstalowanie dodatkowego złośliwego oprogramowania.

"Biorąc pod uwagę obecny stan Whiteholes, możemy spodziewać się bardziej godnych uwagi zmian w pakiecie exploitów w nadchodzących miesiącach. W związku z tym nieustannie monitorujemy to zagrożenie dla wszelkich zmian "- stwierdzili naukowcy.

Specjaliści od bezpieczeństwa regularnie doradzają użytkownikom, aby aktualizowali swoje oprogramowanie i dodatki do przeglądarek w celu ochrony swoich komputerów przed atakami typu" drive-by ". Jednak w niektórych przypadkach atakujący używają luk w zabezpieczeniach, które nie były łatkowymi exploitami zero-day. Aby zapobiec takim atakom, lepiej całkowicie wyłączyć wtyczki przeglądarki, które nie są często używane, i włączyć funkcję "kliknij, aby odtworzyć" dla wtyczek w przeglądarkach obsługujących taką funkcję, jak Mozilla Firefox, Google Chrome i Opera.