Het blijkt dat er gedurende ongeveer 4 maanden een gesofisticeerde malware distributie campagne aan de gang was, en beveiligingsonderzoekers maken nu melding van de voornaamste kenmerken van dit grootse plan. Onderzoekers van Malwarebytes en andere cyberbeveiliging bedrijven hadden meerdere infecties en hun oorsprong geanalyseerd, om alleen nog maar een grotere verrassing te ontdekken.
De “FakeUpdates” campagne compromitteerde de WordPress en Joomla websites
Er wordt gezegd dat de campagne ergens in December van 2017 van start ging, en een hele poos doorging. De campagne werd “FakeUpdates” genoemd aangezien er rogue updates aangeboden weden aan nietsvermoedende gebruikers. Als ze akkoord gingen met het downloaden van de zogenaamd hulpvolle updates, kregen ze in werkelijkheid echter malware. Recentelijk kregen tal van websites een voorproefje van hoe het is gehackt te worden. Magento winkels werden gecompromitteerd en hielpen onbewust de hackers malware verspreide, creditcard gegevens stelen en crypto-miners verdelen. Een andere slag werd uitgedeeld aan de GitHub website, toen een DDoS aanval de website voor ongeveer 10 minuten plat legde.
De eerste sporen van deze “FakeUpdate” campagne warden eind December 2017 reeds ontdekt, maar onderzoekers waren niet in staat om alle puzzelstukjes op hun plaats te laten vallen en te ontdekken dat de nep updates deel uitmaakten van een zeer goed georganiseerd plan. Volgens bepaalde bronnen werden meerdere website platformen gecompromitteerd tijdens deze campagne. De meeste websites konden gehackt worden omdat ze reeds een tijdje niet meer werden bijgewerkt. Hierdoor vertoonden ze kwetsbaarheden, waarvan de cybercriminelen gebruik maakten.
Meerdere WordPress en Joomla websites verdeelden onbewust rogue Chrome, Firefox en andere nep updates van populaire programma’s. We hebben reeds verschillende incidenten besproken waarbij WordPress websites betrokken waren: in januari, werden 5 duizend websites gehackt en aangepast om keyloggers te verspreiden.
Meer details over deze malware distributie campagne
FireEye onderzoekers geven aan dat deze rogue meldingen gebruikt warden voor het verdelen van allerlei kwaadaardige programma’s, maar dat ze ook het NetSupport Manager toegang op afstand tool (RAT) overbrachten. Hoewel dit programma commercieel beschikbaar en legaal is, weerhoudt dit hackers niet om deze toepassing te misbruiken door het op de computer van hun slachtoffers te installeren zonder medeweten om zo niet toegestane toegang te krijgen tot hun machines.
Onderzoekers stellen dat de FakeUpdates campagne een weldoordachte scam is. Het initiële JavaScript bevat verdoezelende manouevers die verhinderen dat het gedetecteerd wordt door beveiliging programma’s. De malware bevat ook wat slimme factoren die het analyseren ervan door onderzoekers bemoeilijken.
De download update, of met andere woorden, het JavaScript bestand, verzamelt informatie over de machines van slachtoffers en verstuurd deze naar de server die commando’s voor het bestand terugstuurt. Van zodra het JavaScript correct werd uitgevoerd, wordt de uiteindelijke malware versie gedownload en deze noemt “Update.js”. Op het eerste zicht, lijkt het inderdaad een updatebestand, maar in werkelijkheid is het kwaadaardig.
In theorie, zouden nep updates geen probleem meer mogen vormen omdat tal van beveiligingsonderzoekers gebruikers er constant aan herinneren dat ze enkel updates mogen installeren vanop betrouwbare bronnen. Nep Google Chrome en Mozilla Firefox updates floreren echter nog steeds en verdelen ransomware, Trojanen, keyloggers en andere soorten kwaadaardige inhoud.
Bron: https://www.2-viruses.com/fakeupdates-campaign-website
Lees "De “FakeUpdates” campagne compromitteert website platformen" in andere talen
“FakeUpdates†campaign compromises website platforms (en)La campagna “FakeUpdates†compromette le piattaforme web (it)
“FakeUpdates†ã‚ャンペーンãŒã‚¦ã‚§ãƒ–サイトã®ãƒ—ラットフォームをå±é™ºã«ã•ã‚‰ã™ (jp)