Hackers maken onzoete muziek met Spin.com-omleiding

Op 27 oktober ontdekten beveiligingsonderzoekers van Symantec dat Spin.com bezoekers omgeleid naar de Rig exploit kit, via een geïnjecteerd iframe.

Bezoekers van de populaire muzieknieuws en recensieswebsite werden omgeleid en vervolgens geïnfecteerd met een reeks malware.

In een blogpost zei Symantec-onderzoeker Ankit Singh dat de Rig-exploitkit gebruik heeft gemaakt van twee kwetsbaarheden van Microsoft Internet Explorer use-after-free remote code execution (RCE) (CVE-2013-2551 en CVE-2014-0322), een Adobe Flash Player RCE kwetsbaarheid (CVE-2014-0497), een Microsoft Silverlight Double Deference RCE kwetsbaarheid (CVE-2013-0074), een Oracle Java SE geheugen corruptie kwetsbaarheid (CVE-2013-2465), een Oracle Java SE externe Java runtime omgeving kwetsbaarheid bij uitvoering van code (CVE-2012-0507) en een beveiligingslek met betrekking tot het vrijgeven van informatie door Microsoft Internet Explorer (CVE-2013-7331).

Na de succesvolle exploitatie van een van die kwetsbaarheden, zou een XOR-gecodeerde lading worden gedownload naar de computer van het slachtoffer. De exploitkit zou dan een verscheidenheid aan nasties laten vallen, waaronder downloaders en informatie-stealers zoals Infostealer.Dyranges en de beruchte Trojan van Zeus banking.

Uit eerder onderzoek van Symantec is gebleken dat de Rig-exploitkit ook Trojan.Pandex, Trojan.Zeroaccess, Downloader.Ponik, W32.Waledac.D en ransomware Trojan.Ransomlock kan verwijderen.

Hoewel Spin.com niet langer gecompromitteerd is, kan de aanval een groot aantal bezoekers hebben getroffen, omdat de site volgens Alexa tot de top 7,000 meest bezochte op het web behoort. Met een Alexa-rangorde van ongeveer 2.800 in de VS, kunnen bezoekers uit die regio bijzonder in gevaar zijn geweest, vooral omdat Symantec zei dat het niet wist hoe lang Spin.com was gecompromitteerd voordat het werd ontdekt.

In een gesprek met SCMagazine zei Singh dat het geïnjecteerde iframe bezoekers doorverwees naar een sterk verduisterde bestemmingspagina voor de Rig exploit kit, maar hij wist niet hoe de website aanvankelijk was aangetast.

Hij ging verder met te zeggen dat wanneer de gebruiker op de bestemmingspagina aankwam, de exploitkit eerst zou proberen beveiligingssoftware op hun computer te omzeilen alvorens te zoeken naar bepaalde plug-ins die deze vervolgens kon exploiteren.

Singh voegde eraan toe dat “Infostealer.Dyranges de URL in de webbrowser controleert op online bankdiensten en verkeer tussen de gebruiker en deze sites onderschept; het kan dan gebruikersnamen en wachtwoorden stelen die in de inlogformulieren van deze sites zijn ingevoerd en ze naar externe locaties sturen. Trojan.Zbot verzamelt een verscheidenheid aan informatie over de gecompromitteerde computer, evenals gebruikersnamen en wachtwoorden, die het terugstuurt naar de [command-and-control] -server. Het opent ook een achterdeur waardoor aanvallers verschillende acties kunnen uitvoeren. ”

Singh concludeerde dat de manier waarop de exploitkit werd uitgevoerd zodanig was dat een typische computergebruiker zich niet bewust zou zijn van zijn aanwezigheid op zijn systeem.

Volgens Symantec beschermen haar beveiligingsproducten haar gebruikers al tegen een dergelijke aanval en hetzelfde zou moeten gelden voor alle andere gerenommeerde merken beveiligingssoftware. We adviseren echter alle gebruikers om ervoor te zorgen dat hun beveiligingssoftware volledig up-to-date wordt gehouden om hen te beschermen tegen de nieuwste bedreigingen.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me