Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Wouter Hoeffnagel - 16 april 2018

Duizenden websites verspreiden malware naar nietsvermoedende bezoekers

Security

Duizenden websites worden misbruikt door cybercriminelen om malware te verspreiden naar nietsvermoedende bezoekers. Het gaat om websites die hun beveiliging niet op orde hebben en zijn gekraakt door aanvallers met als doel  banking malware en zogeheten 'Remote Access Trojans' (RAT's) op systemen van bezoekers te installeren.

Hiervoor waarschuwt Jérôme Segura, een malware analist bij het beveiligingsbedrijf Malwarebytes. Aanvallers zouden al vier maanden lang websites met content management systemen als WordPress, Joomla en SquareSpace op de korrel nemen. Op deze websites laten zij legitiem-ogende waarschuwingen tonen dat gebruikers hun webbrowser of Flash Player moeten updaten om de website te kunnen bekijken. De boodschap die gebruikers hierbij te zien krijgen is toegespitst op de specifieke software die zij gebruiken, wat de geloofwaardigheid van de waarschuwing vergroot.

Malafide JavaScript

Wie in de truc van de aanvallers trapt en de update probeert te downloaden, krijgt in werkelijkheid een malafide JavaScript aangeboden via Dropbox. Dit script controleert eerst of het systeem in een sandbox draait. Indien dit niet het geval is, wordt de uiteindelijke payload afgeleverd. Het gaat hierbij om een uitvoerbaar bestand dat is getekend met een vertrouwd digitaal certificaat.

De aanvallers gaan volgens Segura professionals te werk. Zo maken zij voor individuele doelwitten  vingerafdrukken aan die het mogelijk maakt slachtoffers te identificeren. Op deze wijze zorgen de aanvallers onder andere ervoor dat een waarschuwing nooit meerdere keren aan hetzelfde doelwit wordt getoond. "Deze campagne vertrouwt op een verspreidingsmechanisme dat gebruik maakt van social engineering en een legitieme filehosting service misbruikt", aldus Segura.

Duizenden geïnfecteerde websites

Het is onbekend hoeveel websites precies worden misbruikt voor de aanvalscampagne. Wel zijn honderden geïnfecteerde WordPress en Joomla websites geïdentificeerd, op basis waarvan Segura concludeert dat er vermoedelijk duizenden websites zijn besmet. Meer informatie is te vinden in een blogpost die Segura over de aanvalscampagne heeft gepubliceerd.

Nutanix BW start 6 mei - 20 mei Datacollectief BW 13-05-2024 tm 03-06-2024

Dutch IT events

Event icon

Event

Dutch IT Golf Cup

Event icon

Event

Dutch IT Security Day

Alle events
CompTIA Community Benelux BN 7-31 mei

Over Wouter Hoeffnagel

Wouter Hoeffnagel

Wouter Hoeffnagel is Manager Online content bij Dutch IT Media

Hij is expert op het gebied van ICT en schrijft hierover al jaren in de vorm van nieuwsberichten en inzichtelijke artikelen.