Een malware-advertentie kon afgelopen weekend ongecontroleerd haar gang gaan en systemen infecteren van bezoekers van populaire websites. De advertentie, die met 12.000 lijnen Javacode 11.000 lijnen meer bevatte dan een normale advertentie, leidde nietsvermoedende bezoekers naar een op het eerste zicht legitiem domein. Van daaruit werden de computers van surfers besmet met een trojan en TeslaCrypt Ransomware.
Reclame als toegangspoort
Advertenties op vrijwel alle websites, inclusief deze, worden beheerd door derden. De website voorziet de plaats terwijl een bedrijf als Google voor de eigenlijke reclame zorgt. Vergelijk dat met reclamepanelen in een bushokje of bij een station: noch De Lijn noch de NMBS houden zich bezig met het zoeken en verspreiden van advertenties, dat doet een partner.
Die partner put uit een bron met advertenties en probeert de meest geschikte op de site tevoorschijn te toveren. Soms kan er echter een malware-advertentie door de mazen van het net glippen. Afgelopen weekend was dat het geval. Het beveiligingsprobleem kwam aan het licht nadat onderzoekers van Trustwave, Malwarebytes en Trend Micro een boost in malafide trafiek zagen.
Javascript
De advertentie was erg geavanceerd geschreven om zo detectie zo lang mogelijk te omzeilen. Als het Javascript in de ad een beveiligingsonderzoeker of een computer met de recentste updates en een antivirusprogramma detecteerde, dan hield het zich koest. Enkel wanneer de advertentie geladen werd op een onvoldoende beveiligd systeem schoot de malware in actie. De computer van het slachtoffer werd on contact gebracht met een domein waarop de Angler-exploitkit woonde. Die kit maakt gebruik van kwetsbaarheden in de beveiliging van een computer om zo malware te injecteren, in casu een trojan die gegevens kan stelen en ransomware die je systeem kan versleutelen. Als slachtoffer hoef je niet noodzakelijk op een advertentie te klikken, soms volstaat het om een pagina te laden.
De malware-advertentie werd niet gedetecteerd omdat het brein erachter een domein had bemachtigd dat naar alle waarschijnlijkheid vroeger toebehoorde aan een legitiem advertentiebedrijf. De hacker misbruikte de goede reputatie van het domein in het systeem om zijn malware op grote websites binnen te smokkelen.
Het belang van updates
Bezocht je een website waar de advertentie op verschenen is, dan heb je in de regel niets te vrezen. Zolang je antimalwarebescherming en je browser up to date waren, kon de malware niets beginnen. De Angler-exploitkit maakte gebruik van een kwetsbaarheid in Microsoft Silverlight, maar die werd al in januari van dit jaar verholpen.
Een aanval via een advertentie op grote websites zoals hier gebeurde is erg zeldzaam. Het lek toont aan dat er altijd wel iets kan verkeerd lopen. De malware illustreert tevens het belang van een up-to-date computer. Het internet blijft de nodige virussen bevatten maar wie betrouwbare software draait en die regelmatig update, maakt zichzelf automatisch immuun voor de meeste risico’s.
Bron: ZDnet