Лаборатория Касперского изучила распространенный эксплойт-пак BlackHole

Лаборатория Касперского изучила распространенный эксплойт-пак BlackHole

Уязвимости в легитимном ПО являются одним из самых популярных у злоумышленников способов заражения пользовательских устройств и корпоративных сетей. По статистике «Лаборатории Касперского», чаще всего компьютеры атакуют эксплойты, использующие уязвимости в Java. При этом киберпреступники, как правило, задействуют не один эксплойт, а целые наборы подобных зловредов – эксплойт-паки.

Эксперты «Лаборатории Касперского» внимательно изучили один из таких наборов – широко распространенный BlackHole, исследовав как процесс заражения компьютера с помощью этого эксплойт-пака, так и механизмы защиты от него и подобных ему зловредов, использующих уязвимости в ПО.

Любовь злоумышленников к эксплойт-пакам объясняется просто: в отличие от отдельных вредоносных программ такие наборы значительно повышают результативность атаки, поскольку наличие сразу нескольких разных эксплойтов увеличивает шансы на то, что подходящая уязвимость в ПО будет найдена. В частности, в эксплойт-пак BlackHole входят 3 эксплойта для Oracle Java и 4 для Adobe Flash Player иAdobe Reader. При этом для поддержания этого «инструмента» в рабочем состоянии злоумышленники постоянно меняют набор эксплойтов, а также вносят изменения в код для того, чтобы усложнить детектирование зловредов антивирусными решениями.

Как правило, эксплойт-пак содержит стартовую страницу, которая используется для того, чтобы определить параметры компьютера (версию операционной системы и браузера, наличие плагинов и определенных программ и т.п.) и подобрать соответствующие эксплойты для атаки. Затем, если зловред находит подходящую брешь в программном обеспечении, начинается непосредственный запуск эксплойта.

Эксперты «Лаборатории Касперского» отмечают, что злоумышленники предпринимают немалые усилия для того, чтобы усложнить задачу разработчикам защитного ПО. В частности они шифруют программный код и периодически меняют этот шифр, а также добавляют мелкие, незначительные изменения в код, которые могут помешать сигнатурному детектированию.

Но несмотря на все эти уловки современные защитные решения могут эффективно противостоять атакам с использованием эксплойтов, причем распознавание угроз и их предупреждение осуществляется на всех этапах срабатывания эксплойт-пака. К примеру, решения «Лаборатории Касперского» блокируют возможность перехода на зараженный сайт, ведущий на стартовую страницу эксплойта, а также распознают зловредов, сверяя код всех запускаемых программ с обширной базой данных вредоносного ПО или анализируя поведение программ. Кроме того, отдельная технология «Защита от эксплойтов», встроенная в продукты «Лаборатории Касперского», позволяет вовремя распознать эксплойт среди всех других программ и предотвратить его запуск на компьютере.

Троян-комбайн атакует разработчиков: ворует пароли, майнит и заражает файлы

Специалисты «Доктор Веб» исследовали новый троян, который работает не как один вредонос, а как целый набор инструментов. Он нацелен на supply chain attack — атаки на цепочки поставок — и особенно интересуется проектами на C++ и C#. Главная озабоченность в том, что троян не ограничивается одной функцией.

Он одновременно ведёт себя как стилер, клиппер, бэкдор, майнер и источник заражения файлов.

Зловред может красть данные, подменять информацию, давать злоумышленникам удалённый доступ, майнить криптовалюту и распространяться дальше через заражённые файлы.

Первые случаи распространения вредоноса зафиксировали в последнем квартале 2025 года. С тех пор его постоянно дорабатывают. В основном троян расползается по интернету через заражённые .exe- и Python-файлы, а сам процесс заражения устроен в несколько этапов.

В зоне риска токены Discord, которые позволяют заходить в аккаунты без логина и пароля, пароли и cookie из популярных браузеров, включая Chrome, Edge, Opera, Brave и «Яндекс Браузер», папки Telegram Desktop и данные криптокошелька Exodus.

С браузерами троян работает не только стандартными методами. Он может использовать файл CCCWF.tmp, который встраивается в браузер, считывает пароли и сохраняет их в текстовые файлы. То есть пароль даже не нужно взламывать, его просто аккуратно достают изнутри.

С Exodus история ещё опаснее. Вредонос не просто крадёт папки кошелька, а модифицирует само приложение: находит файл app.asar и заменяет его на поддельную версию, скачанную с сервера злоумышленников. В ней спрятана функция, которая при запуске отправляет мнемонические фразы кошелька атакующим.

RSS: Новости на портале Anti-Malware.ru