Когда в России был арестован Paunch, предполагаемый создатель Blackhole, ИБ-специалисты и знатоки рынка вредоносных программ предсказывали, что этот арест существенно ослабит позиции данного эксплойт-пака и вынудит его пользователей перейти на другие платформы. Прошло полгода, и оказалось, что Blackhole почти исчез с интернет-арены, как и его конкурент Cool, автором которого предположительно является тот же Paunch.

Эксплойт-пак Cool не столь известен, как Blackhole, но не менее опасен и в пору своего расцвета стоил намного дороже. Blackhole является одним из ветеранов рынка эксплойт-паков и за годы своего существования приобрел большую популярность у организаторов кибератак и операторов разных зловредов. Он часто посредничает в drive-by-загрузках, атакуя пользовательские браузеры или плагины, такие как Java и Flash. Годовая лицензия на использование Blackhole обходилась пользователю примерно в $1,5 тыс., его можно было даже взять напрокат на сутки, заплатив $50. Аренда Cool стоила $10 тыс. в месяц.

ИБ-исследователь, известный под именем Kafeine, исправно следит за продажами и использованием эксплойт-паков. Проанализировав последние записи по основным криминальным группам, взявшим на вооружение Blackhole и Cool, он обнаружил, что последний практически вышел из употребления. Единственные, кто все еще использует Cool, — это операторы Reveton, которые, по словам Kafeine, были первыми солидными пользователями данного эксплойт-пака и уже больше года применяют его для раздачи своего вымогателя. За время своего существования Reveton опробовал много обличий, являясь пользователю в виде поддельных предупреждений ФБР или министерства юстиции о нелегальности контента, который тот якобы скачал.

Reveton-группа все еще использует Cool, но в нестандартной версии. Как и многие другие эксплойт-паки, Cool предлагается особо ценным клиентам в так называемых приватных версиях и с наценкой. Такие наборы часто включают недоступные для прочих пользователей эксплойты нулевого дня, а также дополнительный функционал. В своем письме Threatpost Kafeine отметил, что операторы Reveton сегодня используют собственную версию Cool.

«Cool исчез вместе с Paunch, — констатирует исследователь. — Его основной потребитель (Reveton-группа) теперь использует «приватный» эксплойт-пак, который мы решили назвать Angler». Angler был первым эксплойт-паком, освоившим уязвимость CVE-2013-0074 в Microsoft Silverlight. Что касается Blackhole, его все еще используют несколько криминальных групп, но после ареста Paunch активность этого эксплойт-пака, по словам Kafeine, снизилась на 98%. «[Blackhole] почти умер», — заключил исследователь.

Одна из групп, хранящих верность Blackhole, известна как /closest/ и специализируется на рассылке LinkedIn-спама с вредоносными ссылками на страницы с эксплойтами.  Данная группировка использует Blackhole для разных целей, в том числе для распространения ботов Cutwail, PPC-зловредов (накручивающих клики в рамках партнерских программ) и других угроз.

В качестве миниатюры использовано фото с Flickr, коллекция Центра космических полетов им. Годдарда (НАСА).

Категории: Вредоносные программы, Главное