Twee beveiligingsfeatures in Chrome spelen de hackertool Blackhole ernstig parten. Zo wordt gebruikers om expliciete toestemming gevraagd om Java-applets te draaien en opent de browser pdf'jes in een eigen pdf-lezer in plaats van die van Adobe. Om de exploitkit ook bij Chrome gebruikers te installeren, proberen malafide websites gebruikers zo ver te krijgen een nepupdate te installeren waarmee infectie wel makkelijk is.

Chrome-gebruikers doorgesluisd

Mensen die een malafide site waar de Blackhole kit op draait bezoeken, worden gescand op welke browser wordt gebruikt. Bij Internet Explorer en Firefox worden internetters doorgesluisd naar een pagina waar de exploit op draait, waardoor ze worden besmet met malware, zo beschrijven beveiligingsonderzoekers Chris Larsen en Adnan Shukor.

Gebruiken bezoekers Chrome, dan worden ze doorgestuurd naar een portal die ze adviseert een 'update' van de Google-browser te installeren. De nep-installer laat een groot Chrome-logo zien en een blok met 'download update' om daarmee een trojan te installeren.

Blackhole verzamelt zero-days

De Sophos Security Threat Report 2013 die deze week uitkwam, besteedde extra aandacht aan de notoire hackerstool. Blackhole is volgens Sophos marktleider op het gebied van computercriminaliteit. Blackhole is gekoppeld aan een licentiemodel waarbij hackers betalen voor de huur van servers die de kit draaien.

De makers van Blackhole zijn zelf geen beveiligingsonderzoekers, stelt het Sophos-blog Naked Security, omdat er nooit unieke zero-days verschijnen. De cybercriminelen misbruiken onthullingen van white hack-hackers die er juist voor willen zorgen dat gaten gedicht worden. Omdat gebruikers patches laat of niet installeren, zijn deze lekken jaren te gebruiken. White hat-hackers die onthullingen openbaren werken exploit-kits als Blackhole juist in de hand.