Jerome Segure، یک محقق ارشد امنیت در Malwarebytes، در یک پست توضیح داد: «سوءاستفاده از آسیبپذیریهای معروف جاوا و PDF که مدتها بود آنها را ندیده بودیم توسط هانیپات جمعآوری شده است. با نگاه دقیقتر به ساختار این حمله، در کمال تعجب متوجه شدیم که این حمله مربوط به بستهی Blackhole بوده است.»
با توجه به تحقیقات شرکت امنیتی Malwarebytes بستهی سوءاستفاده از آسیبپذیریِ Blackhole که به نظر میرسید مدتها پیش از بین رفته باشد، به تازگی دوباره مورد استفاده قرار گرفته است.
تکنـــــــــــــازدانلود: تا قبل از اکتبر سال ۲۰۱۳ برای مدتها، از این ابزار غیرقانونی به صورت گسترده توسط رخنهگرها برای قرار دادن بدافزار از وبگاههای آلوده روی سامانههای بازدید کننده از وبگاه که از ویندوز استفاده میکنند، استفاده میشد. در اکتبر سال ۲۰۱۳ بعد از دستگیری Paunch، توسعهدهندهی روسی آن، این ابزار دیگر بهروز نشد.
بدون ماژولهای جدید که از جدیدترین آسیبپذیریهای نرمافزاری استفاده کنند، Blackhole به سرعت کارایی و محبوبیت خود را از دست داد. مجرمان مجازی به سرعت به سایر بستههای سوءاستفاده از آسیبپذیریِ مانند Angler رو آوردند.
به نظر این پایان داستان برای Blackhole بود، یا دستکم اینطور به نظر میرسید. اما، Malwarebytes اخیراً متوجه استفادههایی از این بسته شده است.
Jerome Segure، یک محقق ارشد امنیت در Malwarebytes، در یک پست توضیح داد: «سوءاستفاده از آسیبپذیریهای معروف جاوا و PDF که مدتها بود آنها را ندیده بودیم توسط هانیپات جمعآوری شده است. با نگاه دقیقتر به ساختار این حمله، در کمال تعجب متوجه شدیم که این حمله مربوط به بستهی Blackhole بوده است.»
وی اضافه کرد: «حملات جدید بارگیریِ بدون مجور کاربر، که آخر هفته کشف کردیم، از همان ساختاری استفاده میکنند که Blackhole استفاده میکرد، حتی استفاده دوباره از آسیبپذیریهای جاوا و PDF که به صورت خاص در Blackhole مشاهده شده بود. تنها تفاوت در میزان بار بدافزاری است که اعمال میشود، که جاری بوده و به سختی قابل تشخیص با ابزارهایی مانند VirusTotal میباشد.»
تحلیل دقیقتر یک کارگزار قربانی توسط Malwarebytes مشخص کرد که این حمله با استفاده از کد منبع افشا شده بستهی سوءاستفاده از آسیبپذیریِ Blackhole صورت گرفته است.
وی همچنین اضافه کرد: «با اینکه این آسیبپذیریهای قدیمی هستند، همچنان رایانههای آسیبپذیری وجود دارند که ممکن است در معرض خطر باشند، ما همچنین متوجه شدیم که نویسنده این نسخه از Blackhole روی صفحات جدید درحال کار بوده است، بنا بر این ممکن است تغییرات در ویژگیهای آن وجود داشته باشد.»
مشخص نیست که چرا از یک بستهی سوءاستفاده از آسیبپذیریِ قدیمی در حملات جدید استفاده شده، با توجه به اینکه به خاطر قدیمی بودن آن امکان تاثیرگذاری آن ممکن است پایین باشد. چون یک ابزار جایگزین بهروز شده، بدون نیاز به زحمت بیشتر، نتایج بهتری برای مجرمان رایانهای خواهد داشت.
یک فرضیه میتواند این باشد که با عمومی شدن کد منبع، یک سکوی رایگان ایجاد میشود که میتواند تکمیل و بهروزرسانی شود و به همین دلیل مورد علاقهی مجرمان سایبری خواهد بود.