Blackhole y la seguridad de los navegadores de Internet.

Son Kit Exploid para las Masas

Los Blackhole incluyen una colección de herramientas para sacar partido de las vulnerabilidades de seguridad de los navegadores Web para descargar virus, bots, troyanos y otras variantes de software malicioso a los ordenadores de víctimas desprevenidas.

  

El gran incremento de la actividad maliciosa en el pasado año es atribuible en parte a que los hackers, que se sirven fácilmente de herramientas y paquetes estándar. Con un clic cualquiera puede descargar una  sofisticada suite de ataque repleta de opciones. Una de estas suites es el kit BlackHole – un paquete de

software muy extendido basado en Web. Los precios de estos kits van de los 50 $ para usar un día, hasta los 1.500 $ para todo el año.

 

A principios de abril, GatorHost informó sobre una red zombi con más de 90.000 direcciones IP únicas que se usaba para lanzar un violento ataque a nivel mundial contra las instalaciones de Wordpress. Se supone que el objetivo del ataque era introducir un troyano backdoor en los servidores y capturarlos para la red. En algunos casos, el famoso paquete exploit BlackHole se instaló con éxito.

Acceder a los servidores de Wordpress y abusar de ellos fue el logro de estos ciberdelincuentes que encontraron también la posibilidad de seguir distribuyendo programas maliciosos mediante blogs ya establecidos y con sus lectores habituales.

Entre los ciberdelincuentes, gozan de particular popularidad los troyanos dirigidos al robo de información de servicios de banca online. Además, muchos envíos masivos de spam contenían enlaces a conjuntos de exploits: en el primer trimestre de 2013 el más popular entre los delincuentes fue Blackhole.

Durante el primer trimestre de 2013 la cantidad de spam en el tráfico de correo ha sufrido grandes fluctuaciones y alcanzado una media del 66,55%. Esto es un 0,53% más que el trimestre anterior.

Campaña consistente en enviar falsos mensajes de parte de US Airways. Los ciberdelincuentes enviaban estos mensajes con el propósito de persuadir a los usuarios a que activasen los enlaces incrustados en los mensajes y que ofrecían "información de reservas online", además de opciones para el check-in de los vuelos. Si el usuario activaba cualquiera de los enlaces, acababa en un sitio fraudulento que contenía BlackHole Exploit Kit con una avanzada forma del programa malicioso ZeuS (GameOver). Este programa malicioso banquero se autoinstala en el ordenador del usuario y roba los datos de sus cuentas bancarias.  Con estos mensajes spam que se enviaron masivamente, los ciberpiratas apostaban a embaucar a algunos usuarios que hubiesen reservado pasajes en US Airways, lo que aumentaría las posibilidades de que activaran los enlaces.

Las fases del ciclo de vida de Blackhole:

Usuarios en un sitio de exploits Blackhole

Los delincuentes acceden de forma ilegal a sitios web legítimos e introducen contenido malicioso que genera enlaces a las páginas del sitio de Blackhole.

El usuario desprevenido visita unsitio legítimo, el navegador descarga de forma automática del servidor de Blackhole el código del kit de explotación.

Los sitios que alojan Blackhole cambian a menudo.

Utilizan dominios recién registrados y adquiridos mediante el uso ilegal de servicios de DNS

Los hosts desaparecen en el plazo de un día.

La capacidad de Blackhole para enviar tráfico constantemente a los hosts correctos demuestra un nivel de control centralizado impresionante.

Blackhole cuenta con varias estrategias para controlar el tráfico de usuarios.

Infectado a partir de la página de destino

El ataque comienza en cuanto el navegador absorbe el contenido del kit de explotación del servidor de Blackhole. En primer lugar, el código (normalmente, JavaScript) averigua cómo ha llegado el navegador al servidor de Blackhole y registra la información para identificar a los socios que han generado el tráfico y pagarles como lo haría una empresa legal. A continuación, obtiene la huella o el perfil del navegador para detectar el sistema operativo utilizado, la versión y si existen complementos de Flash, PDF, Java, etc. instalados.

Los agujeros en la seguridad de Java parecen ser la principal causa de las infecciones con Blackhole.

Blackhole utiliza código legítimo siempre que es posible. Carga del código del exploit a través del motor Java Open Business Engine.

Envío de la carga

El sistema de la víctima, Blackhole entrega la carga indicada.

Las cargas suelen ser polimórficas y cambian cada vez que infectan un equipo.

Las cargas de Blackhole utilizan herramientas personalizadas de cifrado para evitar ser detectadas por los antivirus.

.

Seguimiento

Blackhole toma nota de qué exploits funcionan con cada combinación de navegadores, sistemas operativos y complementos.

Blackhole es eficaz  y se aprovecha vulnerabilidades nuevas de día cero.