Nyt udbrud af krypto-ransomware spredes via annoncer

En omfattende malvertising-kampagne kan have ramt titusinder siden weekenden. Sider som The New York Times, MSN og AOL er ramt.

Uden varsel har en byge af ransomware-angreb ramt nogle af verdens største websider i løbet af de seneste dage, skriver Ars Technica.

Der er ifølge Trend Micro tale om en ny malvertising-kampagne med relationer til Angler Exploit Kit, hvor ondsindede annoncer i hemmelighed forsøger at installere ransomware, der krypterer data, og anden malware på de besøgendes computere.

Kampagnen startede i sidste uge, da det lykkedes værktøjer fra Angler-kittet at skubbe inficerede bannerannoncer ud gennem et kompromitteret annoncenetværk. De første tegn på, at noget var i gære, viste sig ved, at en række mindre sider blev ramt af RIG Exploit Kit. Men søndag tog angrebene fart og gjorde nu brug af Angler Exploit Kit.

Både Trojan og Crypt

Ifølge eksperter hos Trustwaves SpiderLabs tilføjer det nye angreb en iframe, som peger på Anglers hovedside, til roden af den inficerede sides html-kode, hvorefter computeren inficeres med både Bedep-trojaner og TeslaCrypt-ransomware.

Alene i en enkelt af JSON-filer, som de inficerede bannerannoncer forsøger at hente, fandt SpiderLabs mere end 12.000 stærkt obfuskerede kodelinjer. Ved et nærmere gennemsyn viste det sig, at koderne både indeholdt informationer til at undgå en lang række af sikkerhedsprodukter og værktøjer til at holde sig skjult.

Går efter store aktører

Listen af inficerede sider er lang, men omfatter hovedsageligt store aktører inden for medieindustrien såsom msn.com, nytimes.com, bbc.com, aol.com, my.xfinity.com,newsweek.com med flere.

Angrebene kommer ifølge Malwarebytes fra to mistænkelige domæner, 'trackm ytraffic.biz' og 'talk9 15.pw' (mellemrum indsat af redaktionen), og har indtil videre rettet sig mod netværk ejet af Google, AppNexus, AOL og Rubicon.

Finder vej gennem browserudvidelser

Værktøjerne fra Angler Exploit Kit udnytter svagheder i tredjepart browser-udvidelser som Adobe Flash, Oracle Java og Microsoft Silverlight til at gennemføre sine angreb. Sikkerhedseksperterne anbefaler derfor, at man afinstallerer disse programmer fra sin browser, medmindre de er absolut nødvendige.

Angrebene rammer primært Windows-computere. Men med sidste uges opdagelse af Mac-baseret ransomware bør brugere af alle platforme tage truslen alvorligt, mener eksperterne.

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017