Malafide downloadsites en pop-ups hebben de afgelopen jaren miljoenen internetgebruikers naar malware geleid, zo laat anti-virusbedrijf Trend Micro vandaag in een analyse weten. De aanvallers achter de malware bleken 117 malafide downloadsites te hebben gemaakt.
Deze websites beweren allerlei illegale software aan te bieden. Zodra bezoekers echter op de "free download" knop klikken worden ze naar een programma genaamd ICLoader doorgestuurd. Dit programma kan adware, potentieel ongewenste software en malware op het systeem installeren. Het gaat dan bijvoorbeeld om ransomware en cryptominers. Naast de nagemaakte malafide downloadsites maken de aanvallers ook gebruik van pop-ups op bekende bestandsuitwisselingssites. De pop-ups verschijnen zodra gebruikers via deze websites bestanden willen downloaden.
Als derde verspreidingsmethode hebben de aanvallers twee echte torrent-sites nagemaakt die ook ICLoader verspreiden. Zodra slachtoffers ICLoader hebben gedownload en geïnstalleerd downloadt het programma de legitieme software die de gebruiker in eerste instantie dacht te downloaden. Terwijl de installatie loopt ontvangt ICLoader ook verschillende kwaadaardige bestanden van een command & control-server die zonder toestemming van de gebruiker worden geïnstalleerd.
Voor de downloadlinks naar ICLoader maken de aanvallers gebruik van de Google url-verkorter. Op deze manier konden onderzoekers zien hoeveel mensen op de links hadden geklikt. Eeen van de gebruikte links was al sinds 2015 actief en had bijna 55 miljoen clicks. De nagemaakte malafide websites, die volgens Trend Micro nog allemaal operationeel zijn, zouden naar schatting 300.000 bezoekers per week ontvangen. Waarschijnlijk komen mensen op de websites terecht als ze naar illegale software googelen, aldus de onderzoekers. Gebruikers krijgen het advies om niet zomaar te klikken en alleen programma's van betrouwbare bronnen te downloaden.
Deze posting is gelocked. Reageren is niet meer mogelijk.