Advertenties gebruikt om Windows en Mac aan te vallen
Het gebruik van kwaadaardige advertenties om internetgebruikers met malware te infecteren wordt al geruime tijd toegepast, maar het zijn niet alleen Windowsgebruikers die moeten oppassen. Ook Mac-gebruikers lopen namelijk risico om te worden aangevallen, zo stellen onderzoekers van Cisco.
Ze ontdekten een advertentienetwerk dat ze "Kyle & Stan" noemen en erin geslaagd is om kwaadaardige advertenties op amazon.com, ads.yahoo.com, www.winrar.com en youtube.com te krijgen. De advertenties sturen bezoekers door naar een andere website, die de gebruiker aan de hand van de user agent vervolgens doorstuurt. Afhankelijk of de gebruiker Windows of Mac gebruikt wordt hij naar een andere pagina doorgestuurd. Deze pagina downloadt automatisch de malware.
Malware
De malware bestaat uit legitieme software, zoals een mediaspeler of een programma om de computer te versnellen, aangevuld met kwaadaardige code. Het is echter aan de gebruiker om de download ook te openen en installeren. In tegenstelling tot veel andere gevallen van kwaadaardige advertenties worden er in dit geval geen drive-by downloads gebruikt. Bij een drive-by download maken aanvallers gebruik van bekende lekken in de browser of plug-ins die niet door de gebruiker zijn gepatcht.
Het gebruik van social engineering bij besmette advertenties komt veel minder vaak voor, maar is nog steeds effectief. "Het indrukwekkende is dat we deze techniek niet alleen op Windows zien werken, maar ook op de Mac", aldus de onderzoekers. De malware die via de downloads wordt verspreid bestaat uit spyware, adware en browser hijackers. "Het is niet vergezocht dat mogelijk ook andere malware wordt gebruikt", aldus de analyse.
Zeer indrukwekkend en nog nooit vertoond (voor Mac's) * :
- een redirect op basis van een user agentstring
- een auto start download script op een webpagina
- rotzooi in een bestaande app gefriemeld
- volledig vertrouwen op social engineering tactieken in de hoop dat de (Mac) user zelf een programma installeert en daarvoor met gebruik van admin wachtwoorden toestemming toe geeft.
Het enige unieke dat ik hier kan ontdekken is
- dat de aangeboden apps een unieke hash hebben.
Cisco maakt graag reclame voor de eigen producten.
Oplossingen liggen voor de hand en kunnen simpel zijn zonder producten van cisco
Simpele oplossing
- Adblocker tegen ads en tegen ads voor slechte apps
- Auto open optie van een gedownload file uitzetten
Medium simple oplossing
- NoScript die waarschuwt bij redirects, iframes kan blokkeren en meer.
Mogelijke oplossingen gevorderden
- Een andere useragent string gebruiken met een ander Os opgave dan je eigen systeem Os, minder zinnige optie wellicht in geval van Internet explorer gebruik?
- Downloadsmap op slot zetten met permissiebeheer, geen schrijfrechten.
In geval van een gewenste download een andere browser gebruiken, of per keer een andere download folder toewijzen in geval van een download.
Iets minder praktische oplossing als je de hele dag zit te downloaden, meeste mensen doen dat echter niet.
Een extra klikje of even openen van een andere browser voor een download met een copy paste van de link voor de download is echt heel weinig moeite en het scheelt je ongewenste rotzooi in je downloads folder.
* Ironiemodus
Bij dit specifieke voorbeeld ? Niet erg relevant, zolang je je gezond verstand gebruikt bij het installeren van software. Waarom zou je in hemelsnaam een media player gaan installeren van een onbetrouwbare website, ongeacht of dat via een popup gaat of niet ? Zou jij deze software installeren, indien je zonder adblocker de advertentie zou zien ? ;)
Door 15:21 door Anoniem: Bij dit specifieke voorbeeld ? Niet erg relevant, zolang je je gezond verstand gebruikt...
Begin eerst eens het wel heel relevante artikel zelf te lezen.
De opmerking over adblocker gebruik lijkt namelijk heel relevant.
http://blogs.cisco.com/security/kyle-and-stan/
The attack has a lot of variations, but always follows these steps:
1. You visit a website with the malicious advertisement
2. You get redirected to a different website that redirects you based on user agent. We observed that Windows and Mac users get redirected to different malware in order to infect both operating systems
3. The final page starts the download of a malicious file
http://blogs.cisco.com/wp-content/uploads/img_Flow-550x556.png
De argumenten die je verder geeft komen pas op de tweede plaats en zijn daarmee zelf iets minder relevant, of pas later relevant omdat :
Eerst probeer je een ongewilde download te voorkomen, daarna neem je een gezond besluit rondom een wel ontvangen maar niet gewild gedownload file.
Het artikel stelt dat deze aanpak ook voor andere soorten malware zou kunnen gelden. Malware hoeft namelijk geen app te zijn.
Dat zou dan kunnen betekenen dat de aanpak hetzelfde is maar de files verschillen; dat je niet een app maar ook een malware pdf een afbeelding in je downloads map zou hebben kunnen staan welke op enig moment ooit uit nieuwsgierige verbazing zo-perongeluk-oeps-te-laat-is aangeklikt met alle infectie gevolgen van dien.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
