Aanvallen op internetgebruikers via beveiligingslekken in ongepatchte software vinden meestal plaats via gehackte websites en besmette advertenties, maar nu wordt ook e-mail ingezet, zo meldt netwerkgigant Cisco. Om de kwetsbaarheden uit te buiten maken internetcriminelen vaak gebruik van exploitkits.
Zodra een internetgebruiker op een gehackte website terechtkomt of een besmette advertentie te zien krijgt, wordt hij onopgemerkt naar de exploitkit doorgestuurd. De exploitkit probeert vervolgens bekende kwetsbaarheden in bijvoorbeeld Adobe Flash Player, Internet Explorer of Silverlight te gebruiken om malware op de computer te plaatsen. Hierbij is geen enkele interactie van de gebruiker vereist. Het Finse anti-virusbedrijf F-Secure liet onlangs nog aan Security.NL weten dat 70% van alle infecties op deze manier plaatsvindt.
Cisco meldt nu dat het een nieuwe variant van deze aanvalsmethode heeft ontdekt. Om gebruikers naar de exploitkit te lokken worden nu e-mails ingezet. Het gaat om een e-mail die stelt dat de ontvanger een bestelling heeft gedaan en via de meegestuurde link meer informatie kan opvragen. Daarbij worden zo'n 900 verschillende bedrijfsnamen gebruikt waar de ontvanger zogenaamd een bestelling heeft geplaatst. De link in de e-mail wijst vervolgens naar een gehackte WordPress-pagina met de Angler-exploitkit. In het geval gebruikers hun software niet up-to-date hebben en op de link klikken kunnen ze met malware besmet raken.
"Exploitkits weten gebruikers in groten getale te infecteren en hun bereik blijft groeien. Eerst waren het gehackte websites en besmette advertenties. Nu is het een combinatie van spamberichten met gehackte WordPress-sites die als springplank voor de aanval worden gebruikt", zegt Nick Biasini van Cisco. Hij waarschuwt dat zowel de gebruikers als ontwikkelaars van exploitkits naar nieuwe manieren blijven zoeken om zoveel mogelijk internetgebruikers als mogelijk te infecteren. Daarbij zorgt het verdienmodel van ransomware ervoor dat er een grotere competitie tussen internetcriminelen ontstaat om kwetsbare gebruikers aan te vallen.
Deze posting is gelocked. Reageren is niet meer mogelijk.