作者：趋势科技

在趋势科技的 2013 信息安全预测里，我们提到传统的恶意软件会专注于加强现有工具，而非开发新的威胁。可以证明这一预测的好例子就是黑洞漏洞攻击包，这些攻击包会不断地改进自己以绕过安全检测。实际上，我们最近发现了一起黑洞漏洞攻击包会利用一漏洞攻击码（趋势科技命名为 JAVA_ARCAL.A）来攻击最近被修补的 CVE-2013-0431 漏洞。

如果用户还记得，这漏洞是去年 1 月造成 Java 零时差攻击活动的一部分。甚至导致 Oracle 发布非周期性安全更新以快速解决这个问题。只是这个更新程序本身也有些严重的问题。

这个特殊的黑洞漏洞攻击包攻击是从伪装成 PayPal 的垃圾邮件开始的。当用户点击这封邮件的内容时，会被重定向到数个网站，最终到达藏有加密过攻击程序代码的网页。这些程序代码会检查访客系统是否安装了包 含漏洞的 Adobe Reader、Flash player 和 Java。然后决定下载哪个漏洞攻击码（并决定后续攻击方式）到系统中。

http://blog.iqushi.com/wp-content/uploads/2013/03/2801-300x169.jpg

图一、伪装成来自 PayPal 的电子邮件样本

经过趋势科技的测试，这些黑洞攻击包程序代码会检查某些版本的 Adobe Reader，并下载执行一个恶意 PDF 文件（被命名为 TROJ_PIDIEF.MEX），随后会攻击一个旧的漏洞 CVE-2010-0188。

这些代码还会在受影响系统中检查安装的 Java 版本，并从一特定网页下载执行 JAVA_ARCAL.A。JAVA_ARCAL.A 接着会用 %user% 路径下的 command.exe 从一特定网址下载并执行 TSPY_FAREIT.MEX。这一过程中还会打开另一个网页。根据趋势科技的 分析，TSPY_FAREIT.MEX 会试图窃取储存在浏览器中的信息，包括 Chrome、Mozilla Firefox 和 Internet Explorer 都不放过。最后这些程序代码将访问下列恶意网页，这是为了让用户认为自己只是被重定向到非恶意网站。

http://blog.iqushi.com/wp-content/uploads/2013/03/2802-300x186.jpg

图二、感染链的最终目标网页

从趋势科技云计算安全技术的 数据中，我们可以看出这起攻击所影响最严重的国家和一些有意思的结果。受影响最严重的国家是美国，其次是墨西哥。这很让人惊讶，因为墨西哥在过去的黑洞漏 洞攻击里并没有受到显著影响。面对这次攻击受影响最严重的国家还包括德国、拉脱维亚、日本、澳洲、英国、法国、西班牙和意大利。

这种威胁涉及好几个部分，黑洞攻击包的垃圾邮件攻击可能击倒任何的用户。幸运的是，趋势科技云计算安全技术可以帮助用户防护相关垃圾邮件、网址和恶意软件。

从这次的攻击代码包含 CVE-2013-0431 可以证明，这种威胁不会在短时间内消失。为了保护好自己避免类似威胁，用户必须要经常保持系统和软件在最新状态。

关于这起威胁里的垃圾邮件部分，重要的是用户和安全管理者都要认识到，一般处理垃圾邮件和钓鱼邮件的最佳实践并不能有效地解决黑洞漏洞攻击包的垃圾邮件攻击。我们之前发布的报告 – 「黑洞漏洞攻击包：一波垃圾邮件攻击活动，而非一连串单独的垃圾邮件」里包含了我们对此类攻击所发现的详情。

用户可以参考以下博客文章了解安全使用 PDF 文件和 Java 的秘诀：

如何更安全地使用 PDF 文档

如果一定要使用 Java 该怎么办?

＠原文出处：Blackhole Exploit Kit Run Adopts Controversial Java Flaw

本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！