Een populaire toolkit voor cybercriminelen gebruikt een truc die ook botnetbeheerders regelmatig toepassen om langer operationeel te blijven. De Blackhole exploit-kit bevat allerlei exploits voor lekken in populaire plug-ins zoals Java, Adobe Reader en Flash Player. Op gehackte websites plaatsen de aanvallers een iframe die naar een pagina met de Blackhole exploit-kit wijst. Zodra een internetgebruiker de gehackte website met verouderde software bezoekt, wordt er via het verborgen iframe automatisch vanaf de gelinkte website waarop Blackhole actief is een exploit geladen en uitgevoerd, met als gevolg malware op de computer.

Wordt deze website echter offline gehaald, dan moeten de aanvallers op alle gehackte websites het iframe naar een andere pagina laten wijzen. Om dit probleem tegen te gaan beschikt de nieuwste Blackhole exploit-kit over een pseudo-willekeurige domeinnaamgenerator, gebaseerd op de datum en andere gegevens. Aan de hand hiervan wordt er op de gehackte website een iframe aangemaakt die naar de gegenereerde domeinnaam wijst.

Botnet
De aanvallers hebben deze domeinnamen al van te voren geregistreerd. Anti-virusbedrijf Symantec wist aan de hand van het gebruikte algoritme de te gebruiken domeinnamen te achterhalen. Alle domeinen tot 8 augustus bleken al geregistreerd te zijn.

"Tot nu toe hebben we een klein maar stabiel aantal gehackte websites gezien die deze techniek gebruiken. Dat suggereert dat het mogelijk een test is die in de toekomst wordt uitgebreid", aldus Nick Johnston. "Botnets gebruikten in het verleden dezelfde techniek, maar het gebruik hiervan in web exploit-kits is een nieuwe trend."