image

Mac- en Windowsgebruikers doelwit zogenaamde Flash-updates

maandag 14 oktober 2019, 11:05 door Redactie, 3 reacties

Mac- en Windowsgebruikers zijn het doelwit van verschillende aanvalscampagnes waarbij zogenaamde Flash Player-updates worden gebruikt om computers met malware te infecteren. Ook worden zogenaamde Chrome-, Firefox- en andere browserupdates als lokaas gebruikt.

Voor het verspreiden van de zogenaamde Flash Player-updates maken de aanvallers gebruik van malafide advertenties. De fake browserupdates worden via gecompromitteerde websites verspreid. De advertenties en websites laten gebruikers zien dat ze hun Flash Player of browser via het aangeboden bestand moeten updaten. Een tactiek die in het verleden veelvuldig werd ingezet. Nu melden drie verschillende securitybedrijven dat internetgebruikers opnieuw doelwit van de tactiek zijn.

Antivirusbedrijf Trend Micro ontdekte besmette advertenties die een kwaadaardig HTA-bestand aanbieden. Deze zogenaamde Flash Player-update is in werkelijkheid de KovCoreG-malware. Deze malware downloadt aanvullende kwaadaardige scripts die onder andere Windows Defender en Windows Update uitschakelen. Ook wordt er een backdoor geïnstalleerd die verschillende aanvallen mogelijk maakt.

Zo kan de backdoor worden gebruikt om gebruikers een zogenaamde foutmelding te tonen dat er iets mis is met de computer en ze een opgegeven telefoonnummer moeten bellen. Op deze manier kan men slachtoffer van helpdeskfraude worden. Tevens kan de malware de computer als proxy voor clickfraude gebruiken.

MacOS

Securitybedrijf Confiant meldt ook een aanval met zogenaamde Flash Player-updates, alleen dan gericht tegen macOS-gebruikers. Wederom is de aanvalsvector besmette advertenties die naar een dmg-bestand linken. De applicatie in kwestie is met een Apple-ontwikkelaarscertificaat gesigneerd. Deze applicatie is in werkelijkheid de Shlayer-malware die vervolgens de Tarmac-malware downloadt.

Deze malware stuurt informatie over het systeem terug naar de aanvallers en wacht op verdere instructies. De webpagina die de instructies geeft werd echter na een week verwijderd. Daarnaast was het niet mogelijk om de inkomende instructies te ontsleutelen, waardoor het doel van Tarmac onduidelijk is.

Ransomware

Naast de zogenaamde Flash Player-updates ontdekte securitybedrijf FireEye een aanval met fake Chrome-, Internet Explorer-, Opera- en Firefox-updates. Deze zogenaamde updates worden via gecompromitteerde websites aangeboden. In werkelijkheid gaat het om malware die, wanneer door de gebruiker geïnstalleerd, informatie over het systeem verzamelt en terugstuurt naar de aanvallers. Vervolgens kunnen de aanvallers aanvullende malware installeren, waaronder de banking Trojan Dridex en de BitPaymer-ransomware.

Image

Reacties (3)
14-10-2019, 17:16 door Anoniem
Ik gebruik die rotzooi allang niet meer,omdat alles nu via html steeds vaker gebruikt wordt met video's afspelen.
15-10-2019, 13:21 door Anoniem
Dit is al zooooo oud... Hoe kan het zijn dat dit nog relevant is??
Deze melding / popup herken ik nog. Die krijg je eigenlijk alleen als je 1. gekke website bezoekt 2. geen ad blocker gebruikt.
05-12-2019, 00:24 door Anoniem
Ik zou hier graag ook vermeld zien hoe ik kan zien dat het wél een betrouwbare update van flash betreft.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.