Ces techniques de génération de domaine ont été récemment observées dans une série d'attaques en drive by download comprises dans la boîte à outils Blak Hole. Elles infectent les internautes avec un malware lorsqu'il visite un site compromis, précise dans un blog Nick Johnston, chercheur en sécurité de Symantec. Le code malveillant ainsi injecté dans les sites web, via des balises iframe HTML cachées,  dirige silencieusement les internautes vers des domaines externes qui hébergent les boîtes à outil comme Black Hole. Ce dernier va vérifier si les navigateurs contiennent des failles dans les plug-ins et lorsqu'il en trouve, il installe le malware correspondant.

Les attaques web ont en général une durée de vie courte, car les spécialistes de la sécurité, les hébergeurs et les bureaux d'enregistrements de domaines travaillent ensemble pour fermer ce type de site et suspendre les noms de domaine corrompus. Comme les efforts pour faire tomber ces sites sont similaires à ceux utilisés pour les serveurs de commandes et contrôle des botnets, certains créateurs de malware ont intégré des méthodes de backup pour pouvoir reprendre le contrôle des ordinateurs infectés. Un de ces procédés consiste à ce que le malware contacte un nouveau nom de domaines généré quotidiennement selon un algorithme spécial, si le serveur C&C devient inaccessible.

Cette technique a été utilisée dans des attaques récentes avec Black Hole. Les noms de domaine chargés dans l'URL par des iframes cachés étaient changés quotidiennement et ont été générés par un algorithme d'horodatage. Les cybercriminels avaient enregistré tous les domaines que l'algorithme pouvait générer jusqu'au 7 août prochain, afin que les attaques fonctionnent jusqu'à cette date sans avoir besoin de changer le code inséré dans les sites web compromis. Les spécialistes de Symantec avoue que jusqu'ici, ils ont vu « une flux modeste, mais régulier des domaines compromis qui utilise cette méthode. Cela suggère que ces tests pourraient prendre de l'ampleur à l'avenir ».