Malsmoke
Malsmoke is de naam die door infosec-onderzoekers wordt gegeven aan een aanvalscampagne en de hackergroep die ervoor verantwoordelijk is. De aanvallers hebben malwarebedreigingen van infostealer ingezet op de computers van nietsvermoedende gebruikers. De aanvankelijke aanvalsketens betroffen exploitkits die gericht waren op Internet Explorer- en Adobe Flash-kwetsbaarheden om de Smoke Loader-druppelaar te leveren. Door te vertrouwen op kwetsbaarheden voor software in de end-of-life-cyclus, is de potentiële doelgroep vrij beperkt wanneer de software in kwestie als verouderd kan worden beschouwd.
Dus besloot de Malsmoke-campagne om het aanvankelijke aanvalsplan te schrappen en het te vervangen door corrupte pop-upadvertenties voor nep-Java-updates - waarbij deze tactiek invloed had op Google Chrome, de meest gebruikte webbrowser. De verwijderde malware-payload is ook gewijzigd, waarbij Malsmoke nu een variant van ZLoader levert. Aanvankelijk werd ZLoader ontketend als een banktrojan die verschillende betalings- en creditcardgegevens van geïnfecteerde slachtoffers probeerde te verzamelen. De mogelijkheden van de malware werden vervolgens uitgebreid met de reeks van verschillende versies om de dreiging om te zetten in een volwaardige informatieverzamelaar die gebruikersreferenties en andere privégegevens van een breed scala aan financiële instellingen kan verzamelen.
Om de blootstelling van hun corrupte pop-upadvertenties te maximaliseren, heeft de bedreigingsacteur achter Malsmoke praktisch alle volwassen advertentienetwerken misbruikt. Hoewel het targeten van websites voor volwassenen een gangbare praktijk is voor cybercriminelen, kunnen de meeste schadelijke campagnes niet voorbij websites met weinig verkeer gaan. Malsmoke, aan de andere kant, was erin geslaagd om zijn corrupte advertenties op xHamster te plaatsen, een van de grootste websites, niet alleen in de volwassenenindustrie, op internet met ongeveer een miljard maandelijkse bezoekers.
Gebruikers die vallen voor de advertenties van Malsmoke en erop klikken, worden naar een speciaal vervaardigde lokpagina geleid met verschillende afbeeldingen voor vermeende video's voor volwassenen. Als u echter een van de weergegeven video's start, verschijnt er een foutmelding dat Java Plug-in 8.0 ontbreekt. Om door te gaan met het bekijken van de video, wordt de gebruiker gevraagd om een nep-Java-update genaamd JavaPlug-in.msi te downloaden. Het bestand bevat de payload van ZLoader. Om het voorwendsel dat alles perfect legitiem is verder te versterken, wordt de beschadigde update digitaal ondertekend als een Microsoft-installatieprogramma.
De advertenties die op websites voor volwassenen worden weergegeven, zijn notoir riskant. Gebruikers moeten uiterst voorzichtig zijn wanneer ze besluiten erop te klikken.
