Black Hole Exploits Kit. Otro crimeware que se suma a la oferta delictiva
La industria del crimeware sigue creciendo a través de la puesta en desarrollo y comercialización de nuevos paquetes de exploits pre-compilados que se suman a la oferta de alternativas destinadas a facilitar las maniobras delictivas a través de Internet.
En este caso, se trata de Black Hole Exploits Kit, una aplicación web desarrollada en Rusia pero que además incorpora para su interfaz el idioma inglés, y cuya primera versión (beta por el momento) está intentando insertarse en el mercado clandestino desde principios de septiembre de 2010. Su costo esta determinado en función de una serie de características que intentan diferenciarlo del resto.
En este caso, se trata de Black Hole Exploits Kit, una aplicación web desarrollada en Rusia pero que además incorpora para su interfaz el idioma inglés, y cuya primera versión (beta por el momento) está intentando insertarse en el mercado clandestino desde principios de septiembre de 2010. Su costo esta determinado en función de una serie de características que intentan diferenciarlo del resto.
Módulo estadístico de Black Holes Exploits Kit
Este módulo ofrece una visualización rápida de la información más relevante para un botmaster: cantidad de equipos que forman parte de la red y sus respectivos países, exploits con mayor tasa de éxito y demás información procesada.
Este módulo ofrece una visualización rápida de la información más relevante para un botmaster: cantidad de equipos que forman parte de la red y sus respectivos países, exploits con mayor tasa de éxito y demás información procesada.
A diferencia de muchos otros crimeware de este estilo, Black Hole Exploits Kit utiliza un sistema de licenciamiento por tiempo que determina su costo. Por ejemplo, adquirir este crimeware durante 1 año (por el momento el tiempo máximo) tiene un costo de $ 1500 dólares, mientras que una licencia semestral y trimestral, cuestan $ 1000 y $ 700 respectivamente.
Estadísticas sobre los sistemas operativos afectados
La tendencia marca un leve pero paulatino incremento de sistemas operativos comprometidos que no pertenecen a la familia de Microsoft. En este crimeware se incluye plataformas basadas en *NIX como GNU/Linux y Mac OS. Otros, como Eleonore Exploits Pack y Siberia Exploit Kit incluyen plataformas para dispositivos celulares de alta gama y consolas de videojuegos.
La tendencia marca un leve pero paulatino incremento de sistemas operativos comprometidos que no pertenecen a la familia de Microsoft. En este crimeware se incluye plataformas basadas en *NIX como GNU/Linux y Mac OS. Otros, como Eleonore Exploits Pack y Siberia Exploit Kit incluyen plataformas para dispositivos celulares de alta gama y consolas de videojuegos.
Además, posee costos de $ 50 por la alternativa de utilizar su sistema de cifrado. Esta característica constituye un patrón para los servicios "extras" ofrecidos por los desarrolladores de crimeware, al igual que la posibilidad de verificar la integridad del malware (AVChecker) diseminado a través del crimeware.
Para llevar a cabo esta verificación, se está utilizando con mayor frecuencia VirTest, el servicio privado de origen ruso que se ha transformado en el favorito de los delincuentes para controlar la reputación no sólo del malware diseminado sino que también del mismo exploits pack. Son varios los paquetes crimeware que recientemente han incorporado el módulo VirTest, entre ellos, la última versión de SpyEye.
Para llevar a cabo esta verificación, se está utilizando con mayor frecuencia VirTest, el servicio privado de origen ruso que se ha transformado en el favorito de los delincuentes para controlar la reputación no sólo del malware diseminado sino que también del mismo exploits pack. Son varios los paquetes crimeware que recientemente han incorporado el módulo VirTest, entre ellos, la última versión de SpyEye.
En cuanto a los exploits, todos los que incorpora por el momento son públicos y ampliamente utilizados por la mayoría del crimeware actual. A pesar de ello, estos exploits poseen la mayor tasa de éxito en explotación.
Estadísticas de exploits
A través de este módulo se visualizan los datos estadísticos sobre la capacidad de éxito que posee cada uno de los exploits que forman parte del crimeware.
A través de este módulo se visualizan los datos estadísticos sobre la capacidad de éxito que posee cada uno de los exploits que forman parte del crimeware.
Black Hole Exploits Kit incorpora un TDS (Traffic Direction Script) que le permite independizarse de otra aplicación web que permita manipular arbitrariamente el tráfico web, y seguramente esta característica atrapará la atención de los delincuentes.
También posee un módulo auto-defensivo mediante el cual permite bloquear el acceso a determinados sitios web de seguridad mediante URL o rangos de dirección IP. En la siguiente imagen se encuentra configurado el bloqueo del acceso a los sitios web de Kaspersky Antivirus:
También posee un módulo auto-defensivo mediante el cual permite bloquear el acceso a determinados sitios web de seguridad mediante URL o rangos de dirección IP. En la siguiente imagen se encuentra configurado el bloqueo del acceso a los sitios web de Kaspersky Antivirus:
Módulo auto-defensivo
A través de este módulo también se puede importar o exportar una lista con direcciones a bloquear.
A través de este módulo también se puede importar o exportar una lista con direcciones a bloquear.
Black Hole Exploits Kit se suma a la cartera de ofertas y a poco más de un mes desde su lanzamiento en los ambientes underground no presenta mayor actividad In-the-Wild, quizás debido a su costo inicial. Sin embargo, los profesionales de seguridad debemos prestar especial atención a este crimeware ya que por sus características y costo (que seguramente disminuirá levemente para la próxima versión) será muy bien aceptado dentro de la comunidad delictiva y, por ende, objeto de demanda por parte de los delincuentes.
Información relacionada
Servicio ruso en línea para comprobar la detección de malware
Crimeware-as-a-Service y mecanismos de evasión antivirus
Crimeware-as-a-Service y mecanismos de evasión antivirus
myLoader. Base C&C to manage Oficla/Sasfis Botnet [Whitepaper versión en español]
Criminal activities from BKCNET “SIA” IZZI / ATECH-SAGADE - Part one [Whitepaper versión en español]
Criminal activities from BKCNET “SIA” IZZI / ATECH-SAGADE - Part one [Whitepaper versión en español]
Founder & Director of MalwareIntelligence
Crimeware & Intelligence Analyst Researcher