Novo kit de ferramentas de exploração Whitehole emerge no mercado subterrâneo

Um novo kit de exploração chamado Whitehole surgiu no mercado clandestino, fornecendo aos cibercriminosos mais uma ferramenta para infectar computadores com malware na Web, Pesquisadores de segurança do fornecedor de antivírus Trend Micro relataram quarta-feira.

Os kits de exploração são aplicativos maliciosos baseados na Web projetados para instalar malware em computadores, explorando vulnerabilidades em plug-ins de navegador desatualizados como Java, Adobe Reader ou Flash Player. usar tais kits de ferramentas são chamados de downloads drive-by e eles não exigem nenhuma interação do usuário, tornando-os uma das maneiras mais eficientes de distribuir malware. Os usuários geralmente são redirecionados para páginas de ataque de download drive-by quando visitam sites comprometidos

[Leitura adicional: Como remover malware do seu PC com Windows]

Whitehole usa um código semelhante ao Blackhole, um dos toolkits de exploração mais populares usados hoje, mas tem algumas diferenças em particular, disseram os pesquisadores de segurança da Trend Micro em um post no blog.

Por um lado, Whitehole contém exploits apenas para vulnerabilidades Java conhecidas, a saber: CVE-2011-3544, CVE-2012-1723, CVE -2012-4681, CVE-2012-5076 e CVE-2013-0422.

A mais recente dessas vulnerabilidades, CVE-2013-0422, foi corrigida pelo Oracle no Java 7 Update 11, que foi lançado como uma atualização de emergência em 13 de janeiro, em resposta a ataques de download drive-by que já estavam explorando a falha. O primeiro exploit CVE-2013-0422 foi encontrado no Cool Exploit Kit, uma versão high-end de Blackhole, mas o exploit foi posteriormente adicionado a Blackhole também.

Outros recursos notáveis ​​da Whitehole incluem a capacidade de evitar a detecção de antivírus, prevenir A Navegação segura do Google detecta e bloqueia, e carrega até 20 arquivos maliciosos de uma só vez, disse o pesquisador da Trend Micro.

Whitehole ainda está em desenvolvimento e atualmente opera como uma versão de testes. No entanto, seus criadores já estão alugando seu uso para outros criminosos por preços entre US $ 200 e US $ 1800, dependendo do volume de tráfego.

De acordo com os pesquisadores da Trend Micro, Whitehole está sendo usado para distribuir uma variante de um rootkit chamado ZeroAccess. Sirefef) cuja finalidade é instalar malwares adicionais

“Dado o estado atual de Whiteholes, podemos observar mudanças mais notáveis ​​no kit de exploração nos próximos meses. Assim, estamos continuamente monitorando essa ameaça para quaisquer desenvolvimentos ”, disseram os pesquisadores.

Especialistas em segurança regularmente recomendam que os usuários mantenham seus plug-ins de software e navegador atualizados para proteger seus computadores contra ataques de download drive-by.. No entanto, em alguns casos, os invasores usam exploits para vulnerabilidades que não foram exploradas com zero dia. Para evitar esses ataques, é melhor desativar completamente os plug-ins de navegador que não são usados ​​com frequência e ativar o clique para reproduzir para conteúdo baseado em plug-in em navegadores que suportam o recurso como o Mozilla Firefox, o Google Chrome e o Opera.