Hasta hace unos días Blackhole (o mejor sus
links) eran detectables por algunos antivirus, pero con
la actualización que ha recibido parece ser que complica un
poco la vida a los analistas en seguridad informática.
La primera versión, que salio por allá en el 2010, contaba con un pack "jugosito" de infecciones. Básicamente se aprovecha de la ingeniería social para hacer su cometido que no es otro que desocupar tu cuenta bancaria.
Nuevas mejoras
Sin embargo, solo hace unos días, uno de sus
creadores publicó en un foro ruso que el código había sido re-escrito en su
totalidad agregando nuevas funciones que hacen mas difícil su detección y/o
evaden las reglas que los antivirus tenían.
Agrega además que limpiaron los exploits que
menos éxito tenían, los que no funcionaban 100% o los que hacían que el
navegador se colgase, sin embargo mantiene "compatibilidad" con
Internet Explorer 6 y con los lectores de documentos PDF.
Además, entre otras mejoras del código destacan: detección de
la versión de java y comprobación de las vulnerabilidades que tiene, puede prohibir el tráfico
desde la red TOR, precisión en la identificación
de dispositivos móviles y protección en el panel de control por medio de CAPTCHAs, y
otras muchas que según su creador prefieren mantener ocultas para no alertar a
las casas de antivirus.
Para los usuarios de Chrome –chromiun o srware
iron-, los únicos que no ataca gracias a
su sandbox, crea un pagina estática que pide ser vista con otro navegador - no
se sabe si es vulnerable con la extensión IETAB- recordemos que hasta hace poco Chrome era el invencible rey del o2pwnd.
Modo de trabajo
El modo de trabajo del exploit kit es generar grandes campañas de SPAM[1] o infectar un servidor legítimo[2] para que cuando el usuario haga clic en alguno de sus enlaces se infecte; haciendo gala de vulnerabilidades que el atacante contrata pero son especificas para la operación, dispositivo y hasta sistema operativo y navegador, es decir, actúan por ejemplo cargando el mejor módulo para Windows con un Chrome o un iphone con un Safari. Es como un metasploit pero Web.
[1] Campaña de spam
En donde te envían correos masivos
y esperan que presiones el enlace falso para empezar el ataque o…
[2] Infección web
Cuando
se infecta un server con el exploit kit éste guarda un código malicioso
apuntando a un servidor falso (que puede o no estar en el index, lo que dificulta su detección por medio de la revisión del código fuente). Como las páginas suelen tener mucho javascript y el código no
es fácil de detectar y hace muy difícil el
trabajo de un antivirus. Además las peticiones de los js vienen ofuscadas
lo que aun dificulta mas el rastreo.
Qué hacen para evadir los rastreos
- las url's son automáticas, personalizables -con diccionarios-,
dinámicas y sólo válidas por unos segundos después de ser activadas. De este modo las reglas/firmas para los antivirus se vuelven obsoletas
- si un antivirus detecta muchas veces un módulo será descartado y
reemplazado en su totalidad
Precios
Se sabe que los precios varían desde 50 dólares al día hasta 1500 al año.
Se sabe que los precios varían desde 50 dólares al día hasta 1500 al año.
Fuentes
y referencias
Comentarios
Publicar un comentario