Malsmoke

Malsmoke er navnet, der gives af infosec-forskere til en angrebskampagne og den hackergruppe, der er ansvarlig for den. Angriberne indsatte infostealer-malware-trusler mod intetanende brugeres computere. De indledende angrebskæder involverede udnytter sæt rettet mod Internet Explorer og Adobe Flash-sårbarheder til at levere Smoke Loader-dropper. At stole på sårbarheder for software i dens livscyklus betyder, at den potentielle målgruppe er ret begrænset, når den pågældende software især kan betragtes som forældet.

Så Malsmoke-kampagnen besluttede at fjerne sin oprindelige angrebsplan og erstatte den med korrupte pop-up-reklamer for falsk Java-opdatering - med denne taktik, der kan påvirke Google Chrome, den mest anvendte webbrowser. Den faldne malware-nyttelast blev også ændret, idet Malsmoke nu leverede en variant af ZLoader. Oprindeligt blev ZLoader frigivet som en bank-trojan, der forsøgte at indsamle forskellige betalings- og kreditkortoplysninger fra inficerede ofre. Malwarefunktionerne blev efterfølgende udvidet i løbet af flere versioner for at gøre truslen til en fuldt udviklet informationsindsamler, der kan høste brugeroplysninger og andre private data fra en række forskellige finansielle institutioner.

For at maksimere eksponeringen af deres korrupte pop-up-reklamer misbrugte truslen skuespilleren bag Malsmoke næsten alle reklamenetværk for voksne. Mens målretning mod voksne websteder er en almindelig praksis for cyberkriminelle, kan de fleste skadelige kampagner ikke bevæge sig forbi websteder med lav trafik. Malsmoke havde derimod formået at placere sine korrupte reklamer på xHamster, et af de største websteder, ikke kun i voksenindustrien, på Internettet med omkring en milliard månedlige besøgende.

Brugere, der falder for Malsmokes reklamer og klikker på dem, føres til en specielt udformet lokkefane, der indeholder flere billeder til formodede voksenvideoer. At starte nogen af de viste videoer vil dog resultere i en fejlmeddelelse om, at Java Plug-in 8.0 mangler. For at fortsætte med at se videoen bliver brugeren bedt om at downloade en falsk Java-opdatering ved navn JavaPlug-in.msi. Filen bærer ZLoader-nyttelasten. For yderligere at styrke foregivelsen om, at alt er perfekt perfekt, underskrives den beskadigede opdatering digitalt som et Microsoft-installationsprogram.

De annoncer, der vises på voksnes websteder, er notorisk risikable. Brugere skal være yderst forsigtige, når de beslutter at klikke på en.