Video: Nice landing, wrong airport: lessons learnt the hard way in co‐creation / Remco Lenstra, AMS / X17 (November 2024)
Als je de afgelopen dagen de populaire humorwebsite Cracked.com hebt bezocht, is het mogelijk dat je bent geraakt door een drive-by-download-aanval, volgens onderzoekers van Barracuda Labs. Scan uw computer meteen!
Een onderzoeker ontdekte op 10 november dat Cracked.com een drive-by download hostte die malware aan sitebezoekers met kwetsbare systemen bezorgde, Barracuda Networks-onderzoekers Daniel Peck en Paul Royal schreven op de Barracuda Labs-blog. Het lijkt erop dat de aanvallers al op 4 november toegang tot de site hebben gehad.
Een drive-by-download vindt plaats wanneer kwaadaardige code op de webpagina kwetsbaarheden in de software op de computer van een gebruiker aanpakt. In tegenstelling tot andere webgebaseerde aanvallen waarbij een gebruiker op een koppeling moet klikken of een bestand moet openen, kan een drive-by malware downloaden of opdrachten uitvoeren zonder enige actie van de gebruiker. De gebruiker is geïnfecteerd door alleen de pagina te bezoeken.
Een sitebeheerder op Cracked.com heeft op de gebruikersforums een bericht geplaatst dat het probleem vanaf dinsdagavond is opgelost. "Ja, we kregen geen klachten meer en Google nam ons van de lijst met malware-waarschuwingen of wat het ook veroorzaakte. Krijgt iemand anders het weer?"
Barracuda's Peck bevestigde aan SecurityWatch dat de site momenteel niet is aangetast, maar zei dat na onderzoek naar eerdere problemen met Cracked.com, dit soort aanvallen "voor hen een terugkerend probleem lijkt te zijn".
Details van de aanval
In dit geval zou kwaadwillende JavaScript-code op Cracked.com een kwaadwillende pagina aanvragen van een andere site die eigendom is van de aanvallers, crackedcdm.com. Op dit moment gebruikt de aanvalspagina "een combinatie van kwaadaardige PDF-, Java- en HTML / JavaScript-bestanden" om de browser te compromitteren. Zodra de browser is gecompromitteerd, wordt de malware gedownload en geïnstalleerd. Op het moment van publicatie detecteren 24 van de 47 grote antivirusleveranciers de malware, volgens VirusTotal.
De enige indicatie dat de gebruiker heeft dat er iets mis is, is door op te merken dat de Java-plug-in is gestart en een bericht verschijnt dat het systeem onvoldoende geheugen heeft.
Barracuda Labs waarschuwt dat de "duizenden bezoekers" mogelijk zijn blootgesteld aan de aanval. Statistieken verzameld door Alexa rangschikt Cracked.com als de 289 meest populaire site in de Verenigde Staten, en 654e in de wereld.
Peck zei dat de eerste bevindingen aangeven dat de aanvallers technieken en exploits gebruikten die vergelijkbaar zijn met die in het Nuclear Exploit Pack. Veel van de antivirusleveranciers lijken de malware ook te detecteren als onderdeel van het Androm-botnet, merkte hij op.
Vertrouwde site
Als u Cracked.com in de afgelopen 10 dagen hebt bezocht, werkt u uw antivirushandtekeningen bij en scant u uw machines meteen. Het lijkt erop dat verschillende van de belangrijkste antivirussuites, waaronder Kaspersky Lab, F-Secure, Trend Micro, Symantec, McAfee en BitDefender, hun handtekeningen vandaag hebben bijgewerkt om deze malware te detecteren, volgens VirusTotal.
Zorg er ook voor dat u op de hoogte blijft van de updates voor populair gerichte software, zoals Adobe Reader, Java en uw webbrowser, omdat deze drive-by-download afhankelijk is van uw niet-gepatchte software. Veel webbrowsers, zoals Google Chrome, geven ook grote rode waarschuwingsschermen weer over malware die op de site wordt gedetecteerd. Als u een malwarewaarschuwing ontvangt van uw beveiligingssoftware of browser, neem deze dan serieus en ga niet naar de site. Dat grappige artikel zal blijven.
Uit de berichten op het Cracked.com-forum blijkt dat veel mensen de waarschuwing hebben gezien en toch op de knop "Doorgaan" hebben geklikt om naar de site te gaan. Doe dat niet!
Het feit dat Cracked.com sitebezoekers niet proactief op de hoogte brengt van deze incidenten, of geen herstelstappen biedt om de systemen op te ruimen "geeft aan dat Cracked.com moet worden vermeden als u zich zorgen maakt over malware, " concludeerde Barracuda Labs in zijn post.
