Google AdWords ingezet voor verspreiding van malafide Chrome webbrowser
Cybercriminelen blijken Google AdWords te hebben misbruikt om een malvertising campagne op te zetten. De campagne was gericht op zowel Windows als macOS gebruikers, maar trof door een technische fout aan de kant van de aanvaller uiteindelijk alleen macOS gebruikers.
De aanval is ontdekt door het beveiligingsbedrijf Cylance. In een blogpost beschrijft Jeffrey Tang, Executive Mischief Consultant bij Cylance hoe aanvallers een Google AdWords campagne hebben ingezet in een poging een malafide installatiebestand voor de webbrowser Google Chrome aan de man te brengen. Dit bestand is geïdentificeerd als 'OSX/InstallMiez' of ’OSX/InstallCore’.
Gebruikers ongemerkt doorverwijzen
De malware wordt aangeboden via een advertentie die wordt getoond zodra gebruikers via Google zoeken naar ‘Google Chrome’ op de zoekmachine Google.com. Deze advertentie lijkt te wijzen naar ‘www.google.com/chrome'. Wie echter op de link klikt wordt doorgestuurd naar 'www(punt)entrack(punt)space, en vervolgens doorgestuurd naar 'googlechromelive(punt)com’. Op deze pagina wordt het malafide installatiebestand aangeboden.
De aanval is moeilijk door gebruikers te herkennen. Ook als gebruikers hun muis boven de URL laten zweven wordt in de linker onderhoek van de webbrowser ‘www.google.com/chrome' getoond. Tang merkt op dat een zoekopdracht op het woord ‘Chrome’ een vergelijkbare advertentie oplevert, die wel naar de legitieme webpagina van de webbrowser Chrome verwijst.
macOS
Zodra gebruikers zijn aangekomen op de malafide downloadpagina 'googlechromelive(punt)com’ worden zij afhankelijk van hun besturingssysteem op verschillende manieren doorverwezen. macOS gebruikers worden doorverwezen via 'ttb(punt)mysofteir(punt)com', 'servextrx(punt)com' en 'www(punt)bundlesconceptssend(punt)com', waarna het malafide bestand FLVPlayer.dmg wordt gedownload. Tang wijst erop dat de malware hash van dit bestand continu veranderd, wat het detecteren van de malware bemoeilijkt.
Windows gebruikers hebben meer geluk. De cybercriminelen verwijzen Windows gebruikers door naar 'admin(punt)myfilessoft(punt)com’. Deze webpagina geeft echter een DNS foutmelding, waardoor gebruikers uiteindelijk geen malware voorgeschoteld krijgen.
Meer over
Lees ook
Bestrijders cybercriminaliteit presenteren eerste veiligheidsjaarverslag
KPN, het NCSC (Nationale Cyber Security Centrum), Team High Tech Crime Unit van de politie en TNO hebben gezamenlijk het rapport 'Cyber Security Perspectives 2013' uitgebracht. De vier organisaties die een belangrijke rol spelen bij de bestrijding van cybercriminaliteit schetsen hierin een beeld over de digitale veiligheid in Nederland. Deze wee1
Hackers misbruiken onwaakzaamheid over bekende kwetsbaarheid in netwerktijdprotocol
Sommige kwetsbaarheden worden zo weinig misbruikt dat eigenlijk niemand er aandacht aan besteed. Een voorbeeld hiervan is NTP-servers. Cybercriminelen hebben onverwachts een flinke hoeveelheid aanvallen op netwerktijdprotocol (NTP)-servers uitgevoerd, waardoor zij allerlei servers van grote bedrijven konden neerhalen. Symantec meldt een plotselin1
Rechter oordeelt over nalatigheid bij fraude met internetbankieren
De nieuwe uniforme veiligheidsregels voor online bankieren moeten duidelijkheid geven. Financieel consulent Peter Beszelsen waarschuwde echter in een column in De Telegraaf dat slachtoffers van fraude met internetbankieren voortaan zelf moeten bewijzen dat zij zich aan de regels van banken hebben gehouden. Minister van Financiën Jeroen Dijsselbloe1