Les kits d’exploitation Blackhole et Cool ont presque disparu

Après l'arrestation en Russie de Paunch, le créateur présumé du kit d'exploitation Blackhole, les consultants en sécurité et les experts du marché des programmes malveillants avaient prédit que cette interpellation allait sensiblement affaiblir la position de Blackhole et forcer ses utilisateurs à choisir d'autres plateformes. Six mois plus tard, il semblerait que Blackhole a presque disparu du paysage Internet à l'instar de son concurrent Cool, dont l'auteur serait également Paunch.

Le kit d'exploitation Cool ne bénéficie pas de la même notoriété que Blackhole, mais il est tout aussi dangereux et à ses débuts, il coûtait bien plus cher. Blackhole est l'un des vétérans du marché des kits d'exploitation et au fil de son existence, il a été de plus en plus recherché par les organisateurs de cyberattaques et les opérateurs des programmes malveillants les plus divers. Il intervient souvent dans les attaques par téléchargement à la dérobée en s'en prenant aux navigateurs des utilisateurs ou aux plug-ins comme Java ou Flash. La licence d'utilisation de Blackhole coûtait à l'utilisateur environ 1 500 USD. Il était même possible de le louer à la journée pour 50 USD. La location de Cool s'élevait quant à elle à 10 000 USD par mois.

 

Un chercheur en sécurité informatique connu sous le pseudonyme de Kafeine étudie attentivement les ventes et les utilisations de kits d'exploitation. Après avoir analysé les derniers enregistrements des principaux groupes criminels qui utilisaient Blackhole et Cool, il a découvert que ce dernier avait pratiquement disparu. Les seuls qui utilisent encore Cool sont les opérateurs de Reveton. D'après Kafeine, ils figuraient parmi les premiers grands utilisateurs de ce kit d'exploitation et cela fait déjà plus d'un an qu'ils l'utilisent pour diffuser leur programme malveillant. Tout au long de son existence, Reveton a pris de nombreuses apparences et s'est présenté sous les traits d'avertissements du FBI ou du ministère de la Justice sur le caractère illégal du contenu prétendument téléchargé par la victime.

Le groupe de Reveton utilise toujours Cool, mais pas dans sa version standard. A l'instar de nombreux autres kits d'exploitation, Cool est proposé à de très bons clients dans des versions privées et avec une marge. Ces versions contiennent souvent des codes d'exploitation 0jour qui ne sont pas proposés aux autres utilisateurs ainsi que des fonctionnalités complémentaires. Dans un message envoyé à Threatpost, Kafeine signale que les opérateurs de Reveton utilisent désormais leur propre version de Cool.

Le chercheur en déduit que "Cool a disparu en même temps que Paunch. Son principal utilisateur (le groupe Reveton) utilise désormais une version privée du kit d'exploitation que nous avons baptisée Angler". Angler fut le premier kit d'exploitation à viser la vulnérabilité CVE-2013-0074 dans Microsoft Silverlight. S'agissant de Blackhole, quelsques groupes criminels l'utilisent encore, mais après l'arrestation de Paunch, l'activité de ce kit d'exploitation a diminué de 98 % d'après Kafeine. «[Blackhole] est à l'agonie » en conclut le chercheur.

Un des groupes qui demeure fidèle à Blackhole s'appelle /closest/ et se spécialise dans la diffusion de messages non sollicités de LinkedIn contenant des liens malveillants vers des pages où sont hébergés des codes d'exploitation.  Ce groupe utilise Blackhole à diverses fins, notamment pour diffuser les bots Cuttwail, des programmes malveillants PPC (qui augmentent le nombre de clics dans le cadre de partenariats) et autres menaces.

http://malware.dontneedcoffee.com/2013/10/paunch-arrestationthe-end-of-era.html

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *