Op verschillende populaire torrentsites en mediahostingsites zijn besmette advertenties verschenen die bezoekers met malware proberen te infecteren. De advertenties maken gebruik van een legitieme advertentiedienst en lijken naar websites van bestaande wandelclubs en wandelvakanties te wijzen.
De aanvallers hebben daarbij de domeinnamen van de wandelclubs in kwestie geregistreerd, alleen dan eindigend met de .club-extensie. De advertenties sturen bezoekers in werkelijkheid ongemerkt door naar de Neptune-exploitkit. Deze exploitkit maakt gebruik van bekende kwetsbaarheden in Adobe Flash Player en Internet Explorer. In het geval van Flash Player gaat het om beveiligingslekken die al sinds 2015 zijn gepatcht. Voor de drie aangevallen IE-kwetsbaarheden verschenen in 2014, 2015 en 2016 updates.
Mochten gebruikers sinds mei 2016 geen updates meer hebben geïnstalleerd, dan kan er via de advertenties een Monero-miner op het systeem worden geïnstalleerd. Deze malware gebruikt de computer vervolgens om de cryptocurrency Monero te delven. Securitybedrijf FireEye heeft verschillende domeinen genoemd waar de besmette advertenties gebruik van maken, maar laat niet weten op welke torrentsites en mediahostingsites de advertenties zijn verschenen. We hebben dan ook om opheldering gevraagd. Gebruikers van wie de software up-to-date is lopen geen risico.
FireEye laat in een reactie aan Security.NL weten dat het de namen van de websites niet wil noemen.
Deze posting is gelocked. Reageren is niet meer mogelijk.