Les cybercriminels disposent d'un nouvel outil pour infecter les ordinateurs avec des logiciels malveillants. Le kit d'exploits nommé Whitehole a fait son apparition sur le marché clandestin. Selon les chercheurs de l'entreprise de sécurité Trend Micro, la boîte à outils ne ciblerait pour l'instant que les vulnérabilités de Java.

Les kits d'exploit sont des malware web dont le but est d'introduire des programmes malveillants sur les ordinateurs des internautes en exploitant des vulnérabilités dans des plug-ins pour navigateur Internet comme Java, Adobe Reader ou Flash Player. Les attaques menées à l'aide de ces boîtes à outils sont du type « drive-by download ». Les attaques n'ont pas besoin de l'intervention de l'utilisateur. Le plus souvent, les internautes sont redirigés vers des pages de téléchargement quand ils se rendent sur un site web compromis et une simple visite suffit pour infecter leur ordinateur. C'est donc un moyen très efficace pour disséminer des logiciels malveillants.

Un boite à outils spéciale Java 

« Whitehole utilise un code similaire à Blackhole, une des boîtes à outils parmi les plus populaires aujourd'hui, mais avec certaines différences », comme l'ont spécifié les chercheurs en sécurité de Trend Micro dans un blog. D'une part, Whitehole ne contient que des exploits visant des vulnérabilités connues de Java, à savoir CVE-2011-3544, CVE-2012-1723, CVE-2012-4681, CVE-2012-5076 et CVE-2013-0422. La plus récente de ces vulnérabilités, CVE-2013-0422, a été corrigée par Oracle avec le patch Java 7 Update 11, livré en urgence le 13 janvier dernier pour contrer des attaques « drive-by download » en cours. Le premier exploit CVE-2013-0422 figurait aussi dans le Cool Exploit Kit, une version haut de gamme de Blackhole, mais il a été rajouté plus tard dans la boîte à outil Blackhole.

Parmi les autres caractéristiques mises en évidence par les chercheurs de Trend Micro, Whitehole à la capacité d'échapper à la détection antivirus, n'est pas repérable et ne peut être bloqué par la fonction de navigation sécurisée Safe Browsing de Google, et elle peut charger jusqu'à 20 fichiers malveillants à la fois. Enfin, bien que Whitehole soit toujours en développement - elle est qualifiée actuellement de version de test - ses créateurs ont déjà commencé à louer leur toolkit à d'autres cybercriminels. Celle-ci s'échange à un prix allant de 200 à 1800 dollars en fonction du volume de leur trafic.

Des évolutions à venir 

Toujours selon les chercheurs de Trend Micro, Whitehole est utilisé pour distribuer la variante d'un rootkit appelé ZeroAccess (ou Sirefef) dont le but est d'installer des programmes malveillants supplémentaires. « Compte tenu de l'état actuel de Whitehole, celle-ci risque d'évoluer de façon notable. C'est pourquoi nous scrutons cette menace en permanence pour repérer tout changement dans la boîte à outils », ont indiqué les chercheurs.

Les experts en sécurité conseillent régulièrement aux utilisateurs de toujours maintenir leur navigateur et ses plug-ins à jour afin de protéger leurs ordinateurs contre les attaques de type « drive-by download ». Cependant, dans certains cas, les attaquants utilisent des exploits zero-day qui visent des vulnérabilités non corrigées. Pour prévenir de telles attaques, il est préférable de désactiver complètement les plug-ins utilisés de manière irrégulière et d'activer le click-to-play dans les navigateurs comme Mozilla Firefox, Google Chrome et Opera, qui prennent en charge la fonctionnalité.