Exploit-Packs Blackhole und Cool fast ausgestorben

Als der mutmaßliche Entwickler des Exploit-Packs Blackhole, Paunch, in Russland verhaftet wurde, sagten IT-Sicherheitsspezialisten und Kenner des Marktes für Schadprogramme voraus, dass diese Inhaftierung die Position von Blackhole deutlich schwächen und seine Nutzer zwingen würde, auf andere Plattformen umzusteigen. Ein halbes Jahr ist nun vergangen und es scheint, dass Blackhole fast vollständig von der Internet-Bühne verschwunden ist, ebenso wie sein Konkurrent Cool, dessen Autor vermutlich ebenfalls Paunch ist.

Das Exploit-Pack Cool ist nicht so bekannt wie Blackhole, doch es ist nicht weniger gefährlich und war zu Blütezeiten auch sehr viel teurer. Blackhole ist einer der Veteranen des Marktes für Exploit-Packs und brachte es in den Jahren seiner Existenz unter Organisatoren von Cyberattacken und Betreibern verschiedener Schädlinge zu großer Berühmtheit. Er vermittelte häufig bei Drive-by-Downloads, indem er die Browser oder Plugins wie Java und Flash angriff. Für eine Jahreslizenz für Blackhole musste der Anwender etwa 1.500 Dollar berappen, aber auch eine Tagesmiete für 50 Dollar war möglich. Die Miete für Cool betrug 10.000 Dollar pro Monat.

Der unter dem Namen Kafeine bekannte IT-Sicherheitsforscher verfolgt gewissenhaft den Verkauf und Einsatz von Exploit-Packs. Nachdem er die letzten Einträge auf die wichtigsten kriminellen Gruppen hin analysiert hatte, die Blackhole und Cool einsetzten, entdeckte er, dass Letztgenanntes fast vollständig aus dem Gebrauch gekommen ist. Die Einzigen, die noch Cool verwenden, sind die Betreiber von Reveton, die nach Aussage von Kafeine auch die ersten großen Nutzer dieses Exploit-Packs waren und bereits länger als ein Jahr zur Verbreitung ihres Erpressers verwenden. Reveton probierte zeitlebens verschiedene Gewänder an und erschien dem User beispielsweise in Gestalt gefälschter Warnungen des FBI oder Justizministeriums über illegalen Content, den der Nutzer angeblich geladen hatte.

Die Reveton-Gruppe verwendet nach wie vor Cool, allerdings in einer ungewöhnlichen Version. Wie viele andere Exploit-Packs auch, wird Cool besonders guten Kunden gegen Aufpreis in so genannten privaten Versionen angeboten. Solche Sammlungen beinhalten häufig für durchschnittliche Anwender unzugängliche Zero-Day-Exploits sowie zusätzliche Funktionalität. In seinem Schreiben an Threatpost berichtet Kafeine, dass die Betreiber von Reveton heute eine eigene Cool-Version benutzen.

„Cool ist zusammen mit Paunch verschwunden”, konstatiert der Experte. „Sein Hauptanwender (die Reveton-Gruppe) verwendet nun ein „persönliches“ Exploit-Pack, das wir auf den Namen Angler getauft haben”. Angler war das erste Exploit-Pack, das sich die Sicherheitslücke CVE-2013-0074 in Microsoft Silverlight zunutze machte. Was Blackhole betrifft, so wird dieses Kit nach wie vor von einigen kriminellen Gruppen eingesetzt, doch nach dem Arrest von Paunch ist die Aktivität dieses Exploit-Packs laut Kafeine um 98% zurückgegangen. „[Blackhole] ist fast tot“, schließt der Sicherheitsspezialist.

Eine der Gruppen, die Blackhole die Treue halten, ist als /closest/ bekannt und auf den Versand von LinkedIn-Spam mit schädlichen Links auf Seiten mit Exploits spezialisiert. Diese Gruppierung verwendet Blackhole zu verschiedenen Zwecken, unter anderem für den Transport von Cutwail-Bots, PPC-Schädlingen (Klickzahl-Manipulierer im Rahmen von Partnerprogrammen) und anderen Bedrohungen.

Quelle: Malware don‘t need coffe

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.