Bij het infecteren van computers met malware gebruiken cybercriminelen een eenvoudige tactiek om mensen van computers te onderscheiden, zodat hun aanvallen lastiger door geautomatiseerde systemen worden opgemerkt. Voordat de aanval namelijk plaatsvindt moeten gebruikers zelf op een knop klikken.

Bij veel drive-by downloads gebruiken cybercriminelen zogeheten exploit-kits. Deze kits zijn voorzien van exploits die misbruik van lekken maken die niet door de gebruiker zijn gepatcht. Om internetgebruikers naar een exploit-kit te leiden worden onder andere op gehackte websites JavaScript of een iframe geplaatst, die onzichtbaar voor de gebruiker de website met de exploit-kit laadt.

Interactie

Bij een recent ontdekte aanval vindt er eerst interactie met de gebruiker plaats voordat de website met de exploit-kit wordt geladen. In het geval van de gehackte website was er code toegevoegd die een HTML-formulier laadde met daarop een waarschuwing. Het formulier werd alleen geladen in het geval bezoekers Internet Explorer gebruikten.

Het HTML-formulier laat de gebruiker denken dat er een script op de pagina voor problemen zorgt. Vervolgens moet de gebruiker op "Cancel" of "Yes" klikken. In beide gevallen zorgt de klik ervoor dat er een exploit-kit wordt geladen. Heeft de gebruiker zijn software niet gepatcht dan kan hij hierdoor met malware besmet raken.

Detectie

Sébastien Duquette van anti-virusbedrijf ESET merkt op dat internetgebruikers normaliter automatisch naar een exploit-kit worden doorgestuurd als ze een gehackte pagina bezoeken. De reden dat er nu een andere tactiek wordt toegepast kan zijn om te voorkomen dat geautomatiseerde systemen de exploit-kit ontdekken, wat het weer lastiger voor onderzoekers maakt om dit soort dreigingen te onderzoeken en analyseren.