Onderzoekers van Check Point hebben een nieuwe vorm van malware ontdekt, die browsers overneemt en slachtoffers naar nepwebsites leidt. Het gaat om de RIG exploit kit, die een nieuwe tool heeft gekregen om dit mogelijk te maken. Op het hoogtepunt infecteerde het 27.000 machines per dag.
De rootkit is volgens de onderzoekers in de afgelopen weken verspreid via de RIG exploit kit, meldt ZDNet. De rootkit werd een aantal maanden geleden echter al in het wild ontdekt. De malware lijkt zich met name op Chinese slachtoffers te richten, met duizenden infecties in het land. In de Verenigde Staten zijn slechts veertig infecties geregistreerd.
De malware richt zich specifiek op Windows-systemen. Daarbij voegt de dropper een 32-bit kernel-mode driver die in de tijdelijke directory van Windows staat onder de naam “houzi.sys” toe. Zodra de driver aan de slag gaat, wordt het MAC-adres en het gebruikers-ID van het slachtoffer naar een malafide domein gestuurd.
De informatie wordt vervolgens gebruikt als het slachtoffer op het internet gaat surfen. Aan de hand van die informatie wordt de gewenste malafide configuratie voor de homepage aangepast.
Gevaren
Het gevaar is dat als slachtoffers van echte diensten naar malafide versies gestuurd worden, hackers inloggegevens kunnen bemachtigen. Ook kunnen ze malafide payloads krijgen en kunnen hackers data verzamelen zonder dat het slachtoffer hier toestemming voor gaf.
De informatie kan door de hackers zelf gebruikt worden om hun advertentiecampagnes op de slachtoffers te richten. Ook is het mogelijk om de informatie aan andere bedrijven door te verkopen, die de data gebruiken om hun marketingcontent op het slachtoffer aan te passen.
De nieuwste versie van de rootkit heeft ook VMProtect, waardoor het lastig is om de malware te analyseren. Ook voorkomt de malware dat de browser toegang krijgt tot de bestanden van antivirus-programma’s.
3 uur geleden
