Inyectar código malicioso en el HTML usado en sitios web legítimos, es parte fundamental del ciclo de vida de infección para muchos equipos de ataque, quienes continuamente disfrazan y ofuscan su código para dificultar su análisis, e incluso hacerse pasar por código legítimo.

El último ejemplo de esta técnica se muestra el código que los atacantes emplean muy parecido a  fragmentos de Google Analytics, que envía a las víctimas  a un sitio remoto que hospeda el kit de exploit de Black Hole. El cual no es el resultado deseado.

Los investigadores de Websense descubrieron recientemente un ataque en curso, y encontraron que el código utilizado para ocultar etiquetas de Google Analytics falso está ofuscado, dificultando su análisis. El código malicioso, que se inyecta en las páginas de sitios legítimos, está diseñado para lucir como código de Google Analytics real y está referenciado a dominios comunes. Pero existen ciertas particularidades reveladoras de indican que éste no es el caso.

"Es muy convincente a primera vista, pero es importante recordar que por lo general el código de Google Analytics se coloca en la parte inferior de la página, por lo que éste es un buen indicio para administradores web. Otra sugerencia es que se está utilizando 'UA-XXXXX-X', un marcador de posición en la cuenta de Google Analytics, obviamente esto no es lo que la gente suele hacer. Hemos encontrado otros dominios similares, como google-analytics[punto]su en este ataque, y se actualizará una vez que encontremos más", escribió Tim Xia, de Websense, respecto al estudio.

El resultado final de la rutina de infección es que la víctima sea redirigida a un sitio que aloja el kit de exploit de Black Hole, una pieza de software maliciosa que tratará de apoderarse mediante exploits, del navegador de la víctima. Una vez hecho esto, otra pieza de malware es instalada en la máquina del usuario, generalmente un keylogger o un bancario troyano diseñado para despojar a la víctima de su dinero.

Black Hole es uno de los kits de explotación fácilmente disponibles que equipos de ataque de todas las marcas y modelos, utilizan para instalar malware en miles de máquinas. Black Hole, junto con otros kits, como Eleonore y Siberia, brinda a los atacantes un conjunto de exploits útiles para vulnerabilidades en navegadores web como Internet Explorer, Firefox y Chrome. En la primavera del 2011, una versión de Black Hole se puso disponible en algunos sitios de intercambio de archivos, de forma gratuita. En ese momento, los investigadores dijeron que esperaban que Black Hole fuese utilizado en futuros ataques, y dicha predicción fuera confirmada.

"Si la fuga ZeuS fue como dar una ametralladora gratuita, regalar kits de explotación es como abastecerse de municiones. Ahora se verá mucho más uso de paquetes explotación y malware por parte de grupos menos talentosos de los delincuentes cibernéticos", dijo Aviv Raff, director de tecnología de la empresa de seguridad Seculert, justo cuando comentaba de la filtración de la versión gratuita de Black Hole.