سوء‌استفاده مجدد از آسیب‌پذیریِ قدیمی Blackhole

Jerome Segure، یک محقق ارشد امنیت در Malwarebytes، در یک پست توضیح داد: «سوء‌استفاده از آسیب‌پذیری‌های معروف جاوا و PDF که مدت‌ها بود آن‌ها را ندیده بودیم توسط هانی‌پات جمع‌آوری شده است. با نگاه دقیق‌تر به ساختار این حمله، در کمال تعجب متوجه شدیم که این حمله مربوط به بسته‌ی Blackhole بوده است.»

با توجه به تحقیقات شرکت امنیتی Malwarebytes‌ بسته‌ی سوء‌استفاده از آسیب‌پذیریِ Blackhole که به نظر می‌رسید مدت‌ها پیش از بین رفته باشد، به تازگی دوباره مورد استفاده قرار گرفته است.

تکنـــــــــــــازدانلود: تا قبل از اکتبر سال ۲۰۱۳ برای مدت‌ها، از این ابزار غیرقانونی به صورت گسترده توسط رخنه‌گرها برای قرار دادن بدافزار از وب‌گاه‌های آلوده روی سامانه‌های بازدید کننده از وب‌گاه که از ویندوز استفاده می‌کنند، استفاده می‌شد. در اکتبر سال ۲۰۱۳ بعد از دستگیری Paunch، توسعه‌دهنده‌ی روسی آن، این ابزار دیگر به‌روز نشد.

بدون ماژول‌های جدید که از جدیدترین آسیب‌پذیری‌های نرم‌افزاری استفاده کنند، Blackhole به سرعت کارایی و محبوبیت خود را از دست داد. مجرمان مجازی به سرعت به سایر بسته‌‌های سوء‌استفاده از آسیب‌پذیریِ مانند Angler رو آوردند.

به نظر این پایان داستان برای Blackhole بود، یا دست‌کم این‌طور به نظر می‌رسید. اما، Malwarebytes اخیراً متوجه استفاده‌هایی از این بسته شده‌ است.

Jerome Segure، یک محقق ارشد امنیت در Malwarebytes، در یک پست توضیح داد: «سوء‌استفاده از آسیب‌پذیری‌های معروف جاوا و PDF که مدت‌ها بود آن‌ها را ندیده بودیم توسط هانی‌پات جمع‌آوری شده است. با نگاه دقیق‌تر به ساختار این حمله، در کمال تعجب متوجه شدیم که این حمله مربوط به بسته‌ی Blackhole بوده است.»

وی اضافه کرد: «حملات جدید بارگیریِ بدون مجور کاربر، که آخر هفته کشف کردیم، از همان ساختاری استفاده می‌کنند که Blackhole استفاده می‌کرد، حتی استفاده دوباره از آسیب‌پذیری‌های جاوا و PDF که به صورت خاص در Blackhole مشاهده شده بود. تنها تفاوت در میزان بار بدافزاری است که اعمال می‌شود، که جاری بوده و به سختی قابل تشخیص با ابزارهایی مانند VirusTotal می‌باشد.»

تحلیل دقیق‌تر یک کارگزار قربانی توسط Malwarebytes مشخص کرد که این حمله با استفاده از کد منبع افشا شده بسته‌ی سوء‌استفاده از آسیب‌پذیریِ Blackhole صورت گرفته است.

وی همچنین اضافه کرد: «با اینکه این آسیب‌پذیری‌های قدیمی هستند، همچنان رایانه‌های آسیب‌پذیری وجود دارند که ممکن است در معرض خطر باشند، ما همچنین متوجه شدیم که نویسنده این نسخه از Blackhole روی صفحات جدید درحال کار بوده است، بنا بر این ممکن است تغییرات در ویژگی‌های آن وجود داشته باشد.»

مشخص نیست که چرا از یک بسته‌ی سوء‌استفاده از آسیب‌پذیریِ قدیمی در حملات جدید استفاده شده، با توجه به اینکه به خاطر قدیمی بودن آن امکان تاثیرگذاری آن ممکن است پایین باشد. چون یک ابزار جایگزین به‌روز شده، بدون نیاز به زحمت بیشتر، نتایج بهتری برای مجرمان رایانه‌ای خواهد داشت.

یک فرضیه می‌تواند این باشد که با عمومی شدن کد منبع، یک سکوی رایگان ایجاد می‌شود که می‌تواند تکمیل و به‌روزرسانی شود و به همین دلیل مورد علاقه‌ی مجرمان سایبری خواهد بود.