En ny, effektiv form for malware spreder sig for tiden gennem falske browseropdateringer. Malwaren omfatter blandt andet såkaldte banking-programmer, der kan bruges til at stjæle logininformationer til bank-konti, samt fjernstyre computeren, skriver digi.no.
Ifølge Malwarebytes kører der lige nu en malware-kampagne, som selskabet har kaldt FakeUpdates campaign.
Der er tale om et sofistikeret stykke malware, der spreder sig ved at angriberne planter software på ellers legitime sider, der popper op og fortæller brugeren af browseren, at den skal opdateres.
De falske opdateringsvinduer er specialdesignede til den browser, de popper op på og findes både i variationer til Chrome og Firefox. Der er også fundet variationer af malwaren, der beder offeret opdatere sin Flash-version.
Ifølge digi.no er opdateringsvinduerne ganske svære at skelne fra ægte opdateringspåmindelser, hvilket naturligvis gør angrebskoden så meget desto farligere.
Kører JavaScript-fil
Så snart man klikker på linket til ‘opdateringssiden’ hentes en javascriptfil ned fra Dropbox. Med denne fil kan hackerne se after eventuelle sandboxes og virtuelle maskiner og undgå dem.
Når hackerne med javafilen har vurderet, at der er fri bane hentes en .exe-fil. Det er selve sprænghovedet i hackernes våben og så snart den ondsindede exefil, der er signeret med en godkendt OS-signatur, er hackerne godt i gang med at ravriste de ønskede logins fra det uvidende offer.
Og det er især denne effektive brug af en lokkefil i form af JavaScriptet, der er bemærkelsesværdigt, skriver Malwarebytes. Lokkefilen gør det nemmere for hackerne at målrette deres angreb og langt sværere for offeret bagefter at finde hackernes aftryk efter angrebet.
Digi.no skriver, at det blandt andet er hjemmesider lavet med Wordpress, Joomla og SquareSpace, der er inficeret med den ondsindede kode, men at man ikke ved, præcis hvor mange enheder der er inficeret med FakeUpdates.