Blackholeエクスプロイトキットの機能は、Webブラウザのエクスプロイトセットに組み込まれている個々のエクスプロイトとそのプラグインを使用して、隠れたドライブバイダウンロード攻撃を実装できることでした。 Blackholeは、他の中でも最も商業的に成功したサイバー犯罪プロジェクトの1つであり、他のサイバー犯罪者に有料でサービスを提供する最初の製品でもありました(サービスとしての犯罪ウェア)。
図 Blackholeエクスプロイトキットによる投稿。
パンチは2013年の終わりに逮捕されました。これについてはブログの投稿で書きました。 有名なロシア企業Group-IBは、このサイバー犯罪者の捕獲に参加しました。 作成者からクライムウェアパッケージを購入した後、攻撃者は一連のエクスプロイトを管理するすべての機能を自由に利用できました。 コントロールパネルは、統計の表示、必要なファイルの「フラッディング」、および分散エクスプロイトの制御に使用されます。
図 典型的なBlackholeクライムウェアダッシュボード。 オペレーターは、一連のエクスプロイトの成功統計を確認できるだけでなく、「配布」に必要なマルウェアファイルをダウンロードできます。
ブラックホールの「ハイライト」の1つは、いわゆるその構成に含まれることでした。 ユーザーに対するサイバー攻撃で使用された0dayエクスプロイト。 エクスプロイトの脆弱性は、Microsoftなどのベンダーによってまだ閉じられていないため、この攻撃シナリオはユーザーにとって非常に危険です。 これにより、ドライブバイダウンロードのエクスプロイトが成功する可能性が大幅に増加しました。 有名なWebサイトの目立たない侵害の場合、攻撃者の利益は莫大でした。
Group-IBによると、BlackHoleは2010年に人気を集め始めました。
多数のBlackholeエクスプロイトが2010年の夏に最初の顧客を見つけ、マルウェアを広めようとするサイバー犯罪者の間で次第に絶大な人気を獲得しました。 Blackholeは、ユーザーのコンピューターにマルウェアをインストールするために、いわゆる0日脆弱性(ソフトウェア製造業者によってまだ修正されていない脆弱性)を含むWebブラウザーソフトウェアコンポーネントの脆弱性を悪用します。 Blackholeを使用してマルウェアがインストールされたコンピューターの訪問者は、主にハッキングされたサイトとスパムメールでした。
販売者のサーバー上のBlackholeエクスプロイトバンドルのレンタル価格は月額500ドルでした。 また、独自のサーバーにインストールするためのソフトウェア自体のレンタル価格は3か月間700ドルです。 現在、犯罪者の1000人以上のクライアントに関する情報があります。 毎月、違法行為のみで「パンチ」が約5万ドルを稼ぎ、彼の白い車は白い「ポルシェカイエン」だったことが知られています。
www.group-ib.ru/index.php/7-novosti/1362-group-ib-pomogla-presech-deyatelnost-izvestnogo-khakera-s-psevdonimom-paunch
ESETウイルス対策製品は、悪意のあるWebページと、 JS / Iframe.DE 、 Java / Exploit.Blacole 、 SWF / Exploit.BlacoleなどのBlackholeコンポーネントを検出し、一般的なHTML / IFrame検出の下でも検出します。