Tag Archives: BlackHole Exploit Toolkit

Blackhole ?????????????????????

      No Comments on Blackhole ?????????????????????

ヨーロッパ連合(EU)の財政危機は最近、劇的な展開を見せています。EU でも特に人口の少ない加盟国であるキプロスで、普通預金の残高に対して 1 回限り 10 パーセントの課税計画が発表されました。全島の銀行で口座が封鎖され、議会では前例のない措置について討論されています。その間、不安を抱える口座名義人は、自分たちの預金の行方について事態の推移を見守るしかありません。株主や投資家ではなく、一般の顧客です。

悪名高い Blackhole 悪用ツールキットについては、このブログでも過去に何度となく取り上げてきましたが、その Blackhole もキプロスの一般市民の不安心理につけ込み、事態の新展開を報じるニュースを装った電子メールを送りつけています。

図 1. Blackhole 悪用ツールキットが送る悪質な電子メール

メッセージは、英国放送協会(BBC)ニュースサイトのおすすめ記事紹介サービスから送信されたことになっています。送信元アドレスも、BBC おすすめメッセージを名乗る件名と同様に詐称されたものです。

メッセージからリンクされるランディングページは、「Cyprus Crysys [sic] – BBC(キプロス機危 [原文まま] – BBC)」というタイトルで、BBC の実際のニュースに偽装しています。このページには、「You will be redirected to news(ニュースサイトにリダイレクトされます)」とも書かれています。

図 2. Blackhole 悪用ツールキットが偽装した BBC ニュースのランディングページ

実際のリダイレクト先は、おなじみの Blackhole 悪用ツールキットのページで、そこには Adobe Flash Player や Adobe Acrobat Reader、Java の脆弱性を狙ういくつかの悪用コードが仕掛けられています。数秒後にはタイマー機能が実行され、今度は本物の BBC Web サイトにリダイレクトされます。

図 3. Blackhole 悪用ツールキットで不明瞭化された、脆弱性を悪用する JavaScript

前述したように、キプロスは EU でも特に人口の少ない加盟国ですが、この国で起きる出来事の影響はそれ以上に大きい意味を持っています。ギリシャの多くの人々が、最近の財政危機と政治的不安定のなか、預金を保全するためにキプロスの銀行に資金を移動したからです。また、キプロスはロシア企業にとってオフショアセンターとしても大きな役割をはたしています。

その後、キプロス議会がこの課税案を否決したため、新しい Blackhole 悪用ツールキットのソーシャルエンジニアリングメールでは、北米の大手銀行が使われるようになっています。マルウェアの作成者が、情勢の変化にいかに迅速に対処するかという見本です。

Symantec.cloud では、50 件以上の Web サイトが危殆化し、Blackhole 悪用ツールキットの最新のソーシャルエンジニアリング攻撃へのリダイレクトに利用されていることを確認しています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Blackhole Exploit Kit Takes Advantage of Cypriot Financial Crisis

In recent days, the European Union (EU) financial crisis has taken a dramatic turn. Cyprus, one of the EU’s smallest member states by population, announced plans to impose a one-off levy of up to 10 percent on ordinary bank deposits. Banks across the island state have been closed while the unprecedented measures are debated in the country’s parliament. Meanwhile, anxious bank account holders—ordinary people, not bond holders or investors in Cypriot banks—await news of what will happen to their savings.

The notorious Blackhole Exploit Kit, previously featured in several posts on this blog, has started exploiting the public concern about this situation by sending out emails claiming to be news stories related to the unfolding situation.

Figure 1. Blackhole Exploit Kit malicious email

The message claims to be from the British Broadcasting Corporation (BBC) news site’s article recommendation service. The sending address has been spoofed, as have certain BBC recommendation message headers.

These messages link to a landing page with the title “Cyprus Crysys [sic] – BBC” that pretends to actually be from the British Broadcasting Corporation. This page also states: “You will be redirected to news”.

Figure 2. Blackhole Exploit Kit’s fake BBC news landing page

The page actually redirects to a familiar Blackhole Exploit Kit page which attempts several exploits, targeting vulnerabilities in Adobe Flash Player, Adobe Acrobat Reader, and Java. After several seconds, a timer function is run which then redirects the user to the real BBC website.

Figure 3. Blackhole Exploit Kit’s obfuscated JavaScript targets vulnerabilities

As mentioned, Cyprus is one of the smallest member state in the EU, but the impact of events there have broader implications. Many people in Greece moved money to Cyprus during Greek’s recent financial and political instability, believing their money would be safer there. Cyprus is also a popular offshore center for Russian business.

The parliament in Cyprus has since rejected the proposed tax, and a prominent North American bank is now being used as social-engineering content for new Blackhole Exploit Kit emails—demonstrating how quickly malware authors can respond to current affairs.

Symantec.cloud has identified more than 50 compromised websites redirecting to this latest Blackhole Exploit Kit social-engineering attack.