10/02/2013

Un nouveau Exploit Kit blanc comme neige : Whitehole

Le petit frère de Blackhole (trou noir en anglais) qui est le leader du "marcher" des Exploit Kit dans le milieux underground, a fait son apparition sous le nom de Whitehole. Cet Exploit Kit est qualifiée actuellement de version de test. Ses créateurs ont déjà commencés à louer leur exploit kit à d'autres cybercriminels. Celui-ci s'échange à un prix allant de 200 à 1800 dollars en fonction du volume de leur trafic.




Je vais rappeler ce qu'est un exploit kit pour ceux qui l'ignore. Un exploit kit est un programme qui permet a des attaquants d’exploiter des failles de sécurité de logiciels connus comme pour la plupart du temps Java, Adobe Reader ou Flash Player via des pages web infectés afin d’installer des logiciels malveillants sur les systèmes des victimes si ces programmes ne sont pas mis a jour régulièrement a leur dernière version.

Un marcher parallèle c'est crée avec différent Exploit Kit qui ont vue le jour comme Redkit ou Blackole qui est le leader de ce pseudo "marcher". Whitehole vient compléter une longue liste d'exploit kit déjà existant.
D'après Trend Micros :
« Whitehole utilise un code similaire à Blackhole, une des boîtes à outils parmi les plus populaires aujourd'hui, mais avec certaines différences »
Cet exploit kit ne se concentrerais que sur les failles propre a Java qui sont :

- CVE-2012-5076
- CVE-2011-3544
- CVE-2012-4681
- CVE-2012-1723
- CVE-2013-0422

Toute ces vulnérabilités ont été corrigée par Oracle avec le patch Java 7 Update 13.

Toujours d'après Trend Micro : "D'autres caractéristiques notables de cette nouvelle boîte à outils incluent sa capacité à échapper aux détections anti-virus,  et ne peut être bloqué par la fonction de navigation sécurisée Safe Browsing de Google, et il peut charger un maximum de 20 fichiers infectieux à la fois."

Whitehole peut distribuer différentes variantes du rootkit ZeroAccess (Sirefef) dont le but est d'installer des programmes malveillants supplémentaires et aussi des variantes de Ransom Fake Police.

Ces Exploits Kit peuvent exploiter des failles 0days qui n'ont pas encore patchées par les éditeurs de logiciels (Oracle). Il est conseillé de désactiver les plugins de ces programmes dons nos navigateurs.

Les chercheurs de Trend Micro prévoit une explosion du développement de ce genre de programme cette année.

Source : Trend Micro

Aucun commentaire:

Enregistrer un commentaire