Експлойти як приманка
Зазвичай для залучення уваги зловмисники використовують згадки відомих людей або інші популярні теми. Але в цей раз «принада» розрахована не на звичайних користувачів, а на таких же кіберзлочинців.
І без того популярний експлойт-пак «Blackhole Exploit Kit» недавно залучив до себе ще більше уваги після того, як його творець оголосив про швидкий вихід версії 2.0, що включає довгий список нових цікавих можливостей. Експерти Symantec були вкрай здивовані, виявивши сайт, на якому Blackhole Exploit Kit версії 2.0 вже нібито був розміщений. Незабаром стало ясно, що з цим сайтом що щось не так.
На малюнку вище виразно видно напис: «Blackhole v.2.0», проте, за винятком цього незначного відмінності, в іншому сторінка дуже схожа на аналогічну сторінку з минулого версії (див. рисунок нижче).
Основний зміст обох сторінок ідентично, однак у верхній частині «нової» версії замість меню вставлена блакитна панель з текстом російською мовою:
Реклама: viminfo - сервіс криптовки iframe / javascript коду.
Реклама: Виділені сервери у власному дата-центрі в Сирії під будь-які проекти. Досвід роботи 6 років на ринку. Якість перевірена часом! ;-) [видалено]
Реклама: Унікальний сервіс реєстрації доменів пачками. Під будь-які теми. Швидко, зручно, надійно.[видалено]
Очевидно, що в даному випадку «Blackhole 2.0» всього лише приманка - один зі способів змусити людей зайти на сторінку і прочитати рекламні повідомлення. Буває, що спамери використовують імена відомих людей, бренди або згадки останніх світових подій, щоб спонукати користувачів відкрити електронний лист. Однак для експертів стало несподіванкою, що точно так само хтось використовував назву популярного в певних колах експлойт-пака.
Сторінка рекламує послуги з реєстрації домену, пропозиція хостингу серверів, а також послуги шифрування JavaScript і iframes. Об'єднані воєдино, подібні сервіси забезпечують зловмисників повноцінної інфраструктурою для проведення атак. Фактично, сайт, «засвічений» у рекламі послуг шифрування, і сайт, який фігурує в рекламі реєстрації доменів - обидва відомі в якості частини інфраструктури для проведення «брудних операцій».
Інші ознаки, що вказують на те, що сторінка Blackhole Exploit Kit 2.0 є фальшивкою:
- ім'я цієї веб сторінки - bhstat.php, вже відоме ім'я файлу старої версії, яке доступне без аутентифікації;
- на сайті не було виявлено жодної ще невідомої PHP-сторінки Blackhole;
- у розділі «Експлойти», мабуть для більшої переконливості, числиться Java pack, який фігурував раніше в повідомленні автора про вихід нової версії 2.0.
Таким чином, це не новий Blackhole Exploit Kit 2.0, а перехешированная сторінка нинішньої версії, яка видає себе за нову. До того ж автори даної сторінки не мають нової версії і, швидше за все, взагалі ніяк не пов'язані з Blackhole, а лише намагаються просувати свої послуги, по-шахрайськи експлуатуючи добре відома назва. Очевидно, що їхня цільова аудиторія - кібер-злочинці, які цікавляться експлойт-паком, яким також може знадобитися інфраструктура для його розміщення.