3 декабря 2011 года, экспертами "Лаборатории Касперского"  был зафиксирован резкий рост количества срабатываний на эксплойты, использующие уязвимость CVE-2011-3544 в виртуальной машине Java. Данная уязвимость была опубликована 18 октября, но стала использоваться совсем недавно. Она позволяет злоумышленнику исполнять произвольный код на удаленной машине. Ее можно использовать в эксплойтах, применяемых в drive-by атаках, для загрузки и запуска вредоносных программ. Согласно данным KSN, большая часть эксплойтов к CVE-2011-3544 используется в одном из наиболее популярных в настоящее время эксплойт-паков – BlackHole Exploit Kit.

Эксперты проанализировали актуальные наборы BlackHole. На сайтах, на которых осуществляется drive-by атака с помощью BlackHole, им выдавался достаточно старый эксплойт для уязвимости CVE-2010-0188, выполненный в виде PDF-файла, и новый Java-эксплойт, эксплуатирующий уязвимость CVE-2011-3544. Соответствующие файлы выделены красными овалами на скриншоте ниже.

Скриншот списка файлов, перехваченных при заходе на сайты с установленным BlackHole

Эксерт "Лаборатории Касперского" Брайан Кребс сообщил, что разработчики BlackHole успешно внедрили новый эксплойт в свой набор. Согласно всё той же статистике KSN, атакам новых эксплойтов подвергаются пользователи из России, США, Великобритании и Германии. По-видимому, это связано с тем, что новые эксплойты к уязвимости CVE-2011-3544, интегрированные в BlackHole, устанавливают троянскую программу Carberp, ворующую банковскую информацию, и SMS-блокеры. SMS-блокеры используются преимущественно в России, а троянцы-банкеры атакуют пользователей в развитых странах.

В очередной раз мы можем видеть, что злоумышленники не стоят на месте и совершенствуют свои творения. Всем пользователям очень важно регулярно устанавливать обновления для Java от Oracle. Патч, устраняющий, в том числе, уязвимость CVE-2011-3544, можно скачать отсюда.