3 декабря мы зафиксировали резкий рост количества срабатываний на эксплойты, использующие уязвимость CVE-2011-3544 в виртуальной машине Java. Эта уязвимость была опубликована 18 октября, но стала использоваться не так давно. Она позволяет злоумышленнику исполнять произвольный код на удаленной машине. Ее можно использовать в эксплойтах, применяемых в drive-by атаках, для загрузки и запуска вредоносных программ.
Количество уникальных пользователей, на компьютерах которых были задетектированы эксплойты семейства Exploit.Java.CVE-2011-3544
Согласно данным KSN, большая часть эксплойтов к CVE-2011-3544 используется в одном из наиболее популярных в настоящее время эксплойт-паков – BlackHole Exploit Kit.
Мы проанализировали актуальные наборы BlackHole. На сайтах, на которых осуществляется drive-by атака с помощью BlackHole, нам выдавался достаточно старый эксплойт для уязвимости CVE-2010-0188, выполненный в виде PDF-файла, и новый Java-эксплойт, эксплуатирующий уязвимость CVE-2011-3544. Соответствующие файлы выделены красными овалами на скриншоте ниже.
Скриншот списка файлов, перехваченных при заходе на сайты с установленным BlackHole
Брайан Кребс также сообщает, что разработчики BlackHole успешно внедрили новый эксплойт в свой набор.
Согласно статистике KSN, атакам новых эксплойтов подвергаются пользователи из России, США, Великобритании и Германии. По-видимому, это связано с тем, что новые эксплойты к уязвимости CVE-2011-3544, интегрированные в BlackHole, устанавливают троянскую программу Carberp, ворующую банковскую информацию, и SMS-блокеры. SMS-блокеры используются преимущественно в России, а троянцы-банкеры атакуют пользователей в развитых странах.
В очередной раз мы видим, что злоумышленники не стоят на месте и совершенствуют свои творения. Всем пользователям очень важно регулярно устанавливать обновления для Java от Oracle. Патч, устраняющий, в том числе, уязвимость CVE-2011-3544, можно скачать здесь.
Новый эксплойт к Java-уязвимости — в арсенале BlackHole