image

Bezoekers populaire pornosites doelwit van malafide Java-update

dinsdag 17 november 2020, 12:03 door Redactie, 4 reacties

Bezoekers van verschillende populaire pornosites zijn het doelwit geworden van malafide Java-updates die malware bevatten. Dat meldt anti-malwarebedrijf Malwarebytes. De aanval begint met advertenties die onder andere op xHamster verschenen, een website die volgens SimilarWeb 943 miljoen bezoekers per maand ontvangt en in de Top 25 van meest bezochte websites op internet staat.

De advertenties sturen bezoekers vervolgens door naar een fake pornosite. Wanneer bezoekers van deze nepsite een video willen bekijken verschijnt er een pop-up waarin het lijkt alsof er een video wordt afgespeeld en verschijnt de melding dat de juiste Java-plug-in ontbreekt. Om de video te kunnen bekijken moet vervolgens de aangeboden 'Java-update' worden geïnstalleerd. In werkelijkheid gaat het om de Zloader-malware die allerlei gegevens van het systeem kan stelen, zoals bank- en e-mailwachtwoorden.

De groep achter de aanvallen maakte eerst nog gebruik van exploitkits om bezoekers ongemerkt met de malware te infecteren. De exploitkits werkten echter alleen tegen ongepatchte versies van Internet Explorer. Door gebrek aan recente exploits voor veelgebruikte browsers of browserplug-ins zijn de aanvallers overgestapt op social engineering, aldus Malwarebytes. Hierdoor kan de groep zich op veel meer gebruikers richten dan alleen de personen die met een ongepatchte IE-versie browsen.

Eerder dit jaar werden er ook al besmette advertenties op xHamster aangetroffen. Die maakten gebruik van exploits voor oude kwetsbaarheden in IE en Flash Player.

Image

Reacties (4)
17-11-2020, 14:04 door Anoniem
Zoals ik al mijn kennissen altijd uitleg, krijg je zo'n pop-up, sluit die dan af. Ga vervolgens naar de site van de maker en kijk of vanaf daar een update te laden valt. Als dat zo is en je hebt dat gedaan, ga je terug naar de eerdere site. Komt de melding dan weer, weet je dat ze proberen om rotzooi bij je te installeren. Ander advies is altijd, om niet met local admin als gebruiker te werken, maar dit te scheiden, zodat een poging om iets te installeren altijd een melding geeft.
17-11-2020, 19:00 door Anoniem
Door Anoniem: Zoals ik al mijn kennissen altijd uitleg, krijg je zo'n pop-up, sluit die dan af. Ga vervolgens naar de site van de maker en kijk of vanaf daar een update te laden valt. Als dat zo is en je hebt dat gedaan, ga je terug naar de eerdere site. Komt de melding dan weer, weet je dat ze proberen om rotzooi bij je te installeren. Ander advies is altijd, om niet met local admin als gebruiker te werken, maar dit te scheiden, zodat een poging om iets te installeren altijd een melding geeft.
Ook als administrator krijg je een UAC-melding, tenzij je zo'n idioot bent die het wel beter weet en zichzelf in de vingers snijdt door de UAC koste wat kost uit te schakelen.
17-11-2020, 21:30 door johanw
Dat soort sites bezoeken zonder adblocker is net zoiets als het met een heroinehoertje doen zonder condoom: je loopt het risico dat je iets oploopt.
18-11-2020, 10:37 door Anoniem
ohhhh, kwam daar die melding van :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.