Cybercriminelen verspreiden Angler exploitkit via malafide advertenties

Opnieuw is een grote cybercrimecampagne gedetecteerd waarin gebruik wordt gemaakt van de Angler exploitkit. Deze exploitkit scant machines op kwetsbaarheden. Indien een kwetsbaarheid aangetroffen laadt de exploitkit automatisch een exploit om hier misbruik van te maken.

Zowel Trend Micro als Trustwave meldt een grootschalige campagne met de Angler exploitkit te hebben gedetecteerd. Het is echter niet duidelijk of het om dezelfde aanval gaat. Beide partijen merken op dat de cybercriminelen een backdoor genaamd ‘BEBEP’ op geïnfecteerde machines laden. Via deze backdoor kan vervolgens andere malware worden geïnstalleerd. Daarnaast wordt gebruik gemaakt van TeslaCrypt, een vorm van ransomware.

Verspreid via advertentienetwerken

De onderzoekers van Trustwave melden dat de aanvallers het domein brentsmedia.com onder controle hebben. Door misbruik te maken van de reputatie van deze site zouden de cybercriminelen proberen advertentienetwerken zo ver te krijgen hun malafide advertenties op andere legitieme websites te verspreiden. Dit is gelukt, waardoor de exploitkit op verschillende bekende sites is aangeboden. Het gaat hierbij onder andere om answers.com en zerohedge.com. De malafide advertenties zijn gehost bij twee advertentienetwerken. Eén hiervan heeft direct nadat Trustwave hier melding van maakte maatregelen genomen. Het andere netwerk kon niet direct worden bereikt.

Ook Trend Micro maakt melding van een campagne op basis van de Angler exploitkit. Het beveiligingsbedrijf meldt dat de campagne in 24 uur tijd mogelijk tienduizenden gebruikers heeft geraakt. Ook in dit geval hebben de aanvallers misbruik gemaakt van een advertentienetwerk om malafide advertenties te laten inladen op legitieme websites. De advertentie zou onder andere op nieuwswebsites, entertainmentsites en politiek geörienteerde websites zijn verschenen. Het bedrijf noemt echter geen domeinnamen.