Blackhole est revenu du cimetière des kits d'exploits populaires dans le cadre d'une campagne active d'attaques de type drive-by download sur des sites compromis. La consultation de tels sites peut aboutir à l'infection de l'ordinateur à l'insu de l'utilisateur via le téléchargement automatique d'un malware.

Ce retour inattendu ne se fait toutefois pas dans la finesse. Les attaques s'appuient sur la même structure d'origine de Blackhole et réutilisent d'anciens exploits Java et PDF. La différence notée par Malwarebytes est au niveau de la charge utile du malware dont le taux de détection actuel est faible sur VirusTotal.

Reste que même avec de vieux exploits, il y a probablement des ordinateurs vulnérables dans la nature (non à jour) qui ne demandent qu'à être compromis. Par ailleurs, il ne faut pas écarter le fait que des exploits supplémentaires pourront éventuellement être ajoutés à Blackhole.

Blackhole-exploit-Java
Le code source de Blackhole avait fuité. L'auteur de ce kit d'exploits avait été arrêté en octobre 2013 par les autorités russes. Après cette arrestation, des cybercriminels avaient continué à utiliser Blackhole pendant quelques mois avant qu'il ne tombe en désuétude faute de développement.