Il nuovo toolkit di exploit Whitehole emerge sul mercato sotterraneo

Un nuovo kit di exploit chiamato Whitehole è emerso sul mercato sotterraneo, fornendo ai criminali informatici uno strumento in più per infettare i computer con malware sul Web, I ricercatori di sicurezza del produttore di antivirus Trend Micro hanno riferito mercoledì.

I kit di exploit sono applicazioni Web maligne progettate per installare malware sui computer sfruttando vulnerabilità in plug-in di browser obsoleti come Java, Adobe Reader o Flash Player.

Attacchi che utilizzare tali toolkit sono chiamati download drive-by e non richiedono alcuna interazione da parte dell'utente, rendendoli uno dei modi più efficienti per distribuire malware. Gli utenti in genere vengono reindirizzati alle pagine di attacco di download drive-by quando visitano siti Web compromessi.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Whitehole utilizza un codice simile a Blackhole, uno dei più popolari toolkit di exploit utilizzati oggi, ma ha alcune differenze particolari, hanno detto i ricercatori di sicurezza Trend Micro in un post sul blog.

Per uno, Whitehole contiene solo exploit per vulnerabilità Java note, ovvero: CVE-2011-3544, CVE-2012-1723, CVE -2012-4681, CVE-2012-5076 e CVE-2013-0422.

La più recente di queste vulnerabilità, CVE-2013-0422, è stata patchata da Oracle in Java 7 Update 11, che è stata rilasciata come aggiornamento di emergenza il 13 gennaio in risposta agli attacchi di download drive-by che stavano già sfruttando il difetto. Il primo exploit CVE-2013-0422 è stato trovato in Cool Exploit Kit, una versione high-end di Blackhole, ma l'exploit è stato successivamente aggiunto anche a Blackhole.

Altre caratteristiche di Whitehole includono la capacità di eludere il rilevamento antivirus, prevenire Google Safe Browsing rileva e blocca e carica fino a 20 file dannosi in una sola volta, ha detto il ricercatore di Trend Micro.

Whitehole è ancora in fase di sviluppo e attualmente funziona come una versione di prova. Tuttavia, i suoi creatori stanno già affittando il proprio utilizzo ad altri criminali per prezzi tra $ 200 e $ 1800, a seconda del volume di traffico.

Secondo i ricercatori di Trend Micro, Whitehole viene utilizzato per distribuire una variante di un rootkit chiamato ZeroAccess (o Sirefef) il cui scopo è quello di installare ulteriore malware.

"Dato lo stato attuale dei Whiteholes, potremmo assistere a cambiamenti più degni di nota del kit di exploit nei prossimi mesi. Pertanto, monitoriamo continuamente questa minaccia per eventuali sviluppi ", hanno detto i ricercatori.

Gli esperti di sicurezza consigliano regolarmente agli utenti di tenere aggiornati i loro software e plug-in del browser per proteggere i loro computer dagli attacchi di download drive-by. Tuttavia, in alcuni casi, gli aggressori utilizzano exploit per vulnerabilità che non sono stati exploit patch-zero-day. Per prevenire tali attacchi, è meglio disattivare completamente i plug-in del browser che non vengono utilizzati di frequente e abilitare click-to-play per contenuti basati su plug-in nei browser che supportano funzionalità come Mozilla Firefox, Google Chrome e Opera.