Een programma dat gebruikers helpt bij het updaten van hun drivers heeft malware op systemen geïnstalleerd nadat aanvallers toegang tot de updateserver kregen. Het gaat om het programma DriveTheLife, maar ook andere soortgelijke applicaties die op dezelfde infrastructuur draaien zijn getroffen.
Welke applicaties dit zijn laat antivirusbedrijf Bitdefender niet weten. De virusbestrijder beschouwt DriveTheLife als een "potentieel ongewenste applicatie". Het gaat dan om software die met andere programma's is gebundeld, toolbars installeert en pop-ups of advertenties toont. Een onderdeel van DriveTheLife dat normaliter updates van een legitiem domein downloadt werd eind vorig jaar gemanipuleerd zodat het malware vanaf een domein van de aanvallers downloadde, aldus Bitdefender in een rapport. Dergelijke aanvallen worden "supply chain attacks" genoemd en kunnen zeer effectief voor aanvallers zijn. NotPetya is een bekend voorbeeld van malware die zich via een supply-chain-aanval verspreidde.
De malware die zich via DriveTheLife verspreidde werd de afgelopen maanden met allerlei modules uitgebreid om zich verder binnen het netwerk te verspreiden. Zo maakt de malware gebruik van de EternalBlue-exploit van de NSA om systemen via een oud Windows-lek te infecteren, alsmede een explolit voor Microsoft SQL Server. Ook probeert de malware systemen in het lokale netwerk via een verzameling van zwakke en veelvoorkomende wachtwoorden en wachtwoordsteler Mimikatz te besmetten.
De malware installeert daarnaast een cryptominer die de rekenkracht van het systeem gebruikt om cryptovaluta te delven. Om niet te worden opgemerkt stopt de cryptominer wanneer de gebruiker een videogame speelt. Het zou gebruikers opvallen dat de computer tijdens het spelen trager werkt, wat tot de ontdekking van de cryptominer kan leiden. Volgens onderzoeker Liviu Arsene is het een interessante eigenschap van de cryptominer om met het spelen van games rekening te houden. Infecties zijn wereldwijd waargenomen, maar de meeste besmettingen werden in India aangetroffen.
Deze posting is gelocked. Reageren is niet meer mogelijk.