Nyt udbrud af krypto-ransomware spredes via annoncer

En omfattende malvertising-kampagne kan have ramt titusinder siden weekenden. Sider som The New York Times, MSN og AOL er ramt.

Uden varsel har en byge af ransomware-angreb ramt nogle af verdens største websider i løbet af de seneste dage, skriver Ars Technica.

Der er ifølge Trend Micro tale om en ny malvertising-kampagne med relationer til Angler Exploit Kit, hvor ondsindede annoncer i hemmelighed forsøger at installere ransomware, der krypterer data, og anden malware på de besøgendes computere.

Kampagnen startede i sidste uge, da det lykkedes værktøjer fra Angler-kittet at skubbe inficerede bannerannoncer ud gennem et kompromitteret annoncenetværk. De første tegn på, at noget var i gære, viste sig ved, at en række mindre sider blev ramt af RIG Exploit Kit. Men søndag tog angrebene fart og gjorde nu brug af Angler Exploit Kit.

Både Trojan og Crypt

Ifølge eksperter hos Trustwaves SpiderLabs tilføjer det nye angreb en iframe, som peger på Anglers hovedside, til roden af den inficerede sides html-kode, hvorefter computeren inficeres med både Bedep-trojaner og TeslaCrypt-ransomware.

Alene i en enkelt af JSON-filer, som de inficerede bannerannoncer forsøger at hente, fandt SpiderLabs mere end 12.000 stærkt obfuskerede kodelinjer. Ved et nærmere gennemsyn viste det sig, at koderne både indeholdt informationer til at undgå en lang række af sikkerhedsprodukter og værktøjer til at holde sig skjult.

Går efter store aktører

Listen af inficerede sider er lang, men omfatter hovedsageligt store aktører inden for medieindustrien såsom msn.com, nytimes.com, bbc.com, aol.com, my.xfinity.com,newsweek.com med flere.

Angrebene kommer ifølge Malwarebytes fra to mistænkelige domæner, 'trackm ytraffic.biz' og 'talk9 15.pw' (mellemrum indsat af redaktionen), og har indtil videre rettet sig mod netværk ejet af Google, AppNexus, AOL og Rubicon.

Finder vej gennem browserudvidelser

Værktøjerne fra Angler Exploit Kit udnytter svagheder i tredjepart browser-udvidelser som Adobe Flash, Oracle Java og Microsoft Silverlight til at gennemføre sine angreb. Sikkerhedseksperterne anbefaler derfor, at man afinstallerer disse programmer fra sin browser, medmindre de er absolut nødvendige.

Angrebene rammer primært Windows-computere. Men med sidste uges opdagelse af Mac-baseret ransomware bør brugere af alle platforme tage truslen alvorligt, mener eksperterne.

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Følg forløbet

Kommentarer (4)

Ivo Santos

Eller man kan slå javascript fra som standard, det hjælper så ikke på sider nem - id hvor man ikke har muligheden for at slå javascript fra.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen