BlackHole est l’un des outils pirates tout en un les plus dominants actuellement disponibles sur le marché clandestin du Net. Selon un communiqué publié sur Pastebin par des développeurs inconnus en langue russe, BlackHole Exploit Kit 2.0 serait sorti en embarquant avec lui tous les derniers exploits pirates.
Il permet aux attaquants d’exploiter les failles de sécurité afin d’installer des logiciels malveillants sur les systèmes des victimes. La nouvelle variante ne repose pas sur un système de détection de plugin pour déterminer la version de Java installée, accélérant ainsi le processus de téléchargement des logiciels malveillants. Les anciens exploits visant des anciens navigateurs et qui causaient de gros bugs visuels ont été supprimés.
Le kit d’exploit est offert à la fois comme un produit sous “licence” pour l’opérateur du serveur de logiciels malveillants et comme un service pour l’auteur ayant son propre serveur.
Voici quelques fonctionnalités cité par l’auteur qui retiennent l’attention au sujet de la nouvelle version :
- empêcher le téléchargement direct de charges utiles exécutables
- seulement charger le contenu de l’exploit lorsque le client est considéré comme vulnérable
- abandonner l’utilisation de la bibliothèque PluginDetect (justification de performance)
- suppression de certains exploits anciens (en conservant Java, LibTIFF PDF et MDAC)
- changement de la structure URL prévisible (noms de fichiers et de paramètres de chaîne de requête)
- mise à jour des statistiques de la machine afin d’inclure Windows 8 et les appareils mobiles
- informations sur la version et meilleure répartition des plugins
- vérification améliorée des référents
- blocage du trafic TOR
Enfin, un certain nombre de « private tricks » ont été mis en œuvre, que l’auteur préfère garder secret, car il craint que les concurrents et les compagnies d’antivirus se “faufilent”.
A noter que l’auteur propose une location à la journée de son serveur pour la modique somme de 50 $ ! Et jusqu’à un bail d’un mois pour 500 $ (avec des frais annexes pour le trafic au dela de 70 000 visites du site Web par jour).
Pour ceux qui veulent lancer leur propre serveur BlackHole, les licences commencent à 700 $ pour une durée de 3 mois (ce qui inclut le support logiciel) et peut aller jusqu’à 1500 $ pour une année complète, plus 200 $ pour la version multi-domaine. Pour ceux qui veulent brouiller les pistes, un kit de nettoyage est disponible au prix de 300 $.
Le malware a visiblement encore de beaux jours devant lui…