Infos

Les kits d’exploitation Blackhole et Cool ont presque disparu

Après l'arrestation en Russie de Paunch, le créateur présumé du kit d'exploitation Blackhole, les consultants en sécurité et les experts du marché des programmes malveillants avaient prédit que cette interpellation allait sensiblement affaiblir la position de Blackhole et forcer ses utilisateurs à choisir d'autres plateformes. Six mois plus tard, il semblerait que Blackhole a presque disparu du paysage Internet à l'instar de son concurrent Cool, dont l'auteur serait également Paunch.

Le kit d'exploitation Cool ne bénéficie pas de la même notoriété que Blackhole, mais il est tout aussi dangereux et à ses débuts, il coûtait bien plus cher. Blackhole est l'un des vétérans du marché des kits d'exploitation et au fil de son existence, il a été de plus en plus recherché par les organisateurs de cyberattaques et les opérateurs des programmes malveillants les plus divers. Il intervient souvent dans les attaques par téléchargement à la dérobée en s'en prenant aux navigateurs des utilisateurs ou aux plug-ins comme Java ou Flash. La licence d'utilisation de Blackhole coûtait à l'utilisateur environ 1 500 USD. Il était même possible de le louer à la journée pour 50 USD. La location de Cool s'élevait quant à elle à 10 000 USD par mois.

 

Un chercheur en sécurité informatique connu sous le pseudonyme de Kafeine étudie attentivement les ventes et les utilisations de kits d'exploitation. Après avoir analysé les derniers enregistrements des principaux groupes criminels qui utilisaient Blackhole et Cool, il a découvert que ce dernier avait pratiquement disparu. Les seuls qui utilisent encore Cool sont les opérateurs de Reveton. D'après Kafeine, ils figuraient parmi les premiers grands utilisateurs de ce kit d'exploitation et cela fait déjà plus d'un an qu'ils l'utilisent pour diffuser leur programme malveillant. Tout au long de son existence, Reveton a pris de nombreuses apparences et s'est présenté sous les traits d'avertissements du FBI ou du ministère de la Justice sur le caractère illégal du contenu prétendument téléchargé par la victime.

Le groupe de Reveton utilise toujours Cool, mais pas dans sa version standard. A l'instar de nombreux autres kits d'exploitation, Cool est proposé à de très bons clients dans des versions privées et avec une marge. Ces versions contiennent souvent des codes d'exploitation 0jour qui ne sont pas proposés aux autres utilisateurs ainsi que des fonctionnalités complémentaires. Dans un message envoyé à Threatpost, Kafeine signale que les opérateurs de Reveton utilisent désormais leur propre version de Cool.

Le chercheur en déduit que "Cool a disparu en même temps que Paunch. Son principal utilisateur (le groupe Reveton) utilise désormais une version privée du kit d'exploitation que nous avons baptisée Angler". Angler fut le premier kit d'exploitation à viser la vulnérabilité CVE-2013-0074 dans Microsoft Silverlight. S'agissant de Blackhole, quelsques groupes criminels l'utilisent encore, mais après l'arrestation de Paunch, l'activité de ce kit d'exploitation a diminué de 98 % d'après Kafeine. «[Blackhole] est à l'agonie » en conclut le chercheur.

Un des groupes qui demeure fidèle à Blackhole s'appelle /closest/ et se spécialise dans la diffusion de messages non sollicités de LinkedIn contenant des liens malveillants vers des pages où sont hébergés des codes d'exploitation.  Ce groupe utilise Blackhole à diverses fins, notamment pour diffuser les bots Cuttwail, des programmes malveillants PPC (qui augmentent le nombre de clics dans le cadre de partenariats) et autres menaces.

http://malware.dontneedcoffee.com/2013/10/paunch-arrestationthe-end-of-era.html

Les kits d’exploitation Blackhole et Cool ont presque disparu

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception