Duizenden websites verspreiden malware naar nietsvermoedende bezoekers
16-04-2018 | door: Wouter Hoeffnagel

Duizenden websites verspreiden malware naar nietsvermoedende bezoekers

Duizenden websites worden misbruikt door cybercriminelen om malware te verspreiden naar nietsvermoedende bezoekers. Het gaat om websites die hun beveiliging niet op orde hebben en zijn gekraakt door aanvallers met als doel  banking malware en zogeheten 'Remote Access Trojans' (RAT's) op systemen van bezoekers te installeren.

Hiervoor waarschuwt Jérôme Segura, een malware analist bij het beveiligingsbedrijf Malwarebytes. Aanvallers zouden al vier maanden lang websites met content management systemen als WordPress, Joomla en SquareSpace op de korrel nemen. Op deze websites laten zij legitiem-ogende waarschuwingen tonen dat gebruikers hun webbrowser of Flash Player moeten updaten om de website te kunnen bekijken. De boodschap die gebruikers hierbij te zien krijgen is toegespitst op de specifieke software die zij gebruiken, wat de geloofwaardigheid van de waarschuwing vergroot.

Malafide JavaScript

Wie in de truc van de aanvallers trapt en de update probeert te downloaden, krijgt in werkelijkheid een malafide JavaScript aangeboden via Dropbox. Dit script controleert eerst of het systeem in een sandbox draait. Indien dit niet het geval is, wordt de uiteindelijke payload afgeleverd. Het gaat hierbij om een uitvoerbaar bestand dat is getekend met een vertrouwd digitaal certificaat.

De aanvallers gaan volgens Segura professionals te werk. Zo maken zij voor individuele doelwitten  vingerafdrukken aan die het mogelijk maakt slachtoffers te identificeren. Op deze wijze zorgen de aanvallers onder andere ervoor dat een waarschuwing nooit meerdere keren aan hetzelfde doelwit wordt getoond. "Deze campagne vertrouwt op een verspreidingsmechanisme dat gebruik maakt van social engineering en een legitieme filehosting service misbruikt", aldus Segura.

Duizenden geïnfecteerde websites

Het is onbekend hoeveel websites precies worden misbruikt voor de aanvalscampagne. Wel zijn honderden geïnfecteerde WordPress en Joomla websites geïdentificeerd, op basis waarvan Segura concludeert dat er vermoedelijk duizenden websites zijn besmet. Meer informatie is te vinden in een blogpost die Segura over de aanvalscampagne heeft gepubliceerd.

Terug naar nieuws overzicht

Tags

Security
Security