Valse Flash-update heeft malware voor cryptojacking aan boord

Abonneer je gratis op Techzine!

Palo Alto Networks waarschuwt voor een nieuwe malwarecampagne waarbij een op het eerste zicht legitieme update voor Adobe Flash wordt gebruikt voor cryptojacking.

De campagne zou al minstens sinds augustus aan de gang zijn en kende een flinke piek in activiteit in september. Onderzoekers van Palo Alto vonden de bedreiging tijdens een zoektocht naar Windows-executables met de naam ‘AdobeFlashPlayer…’ op servers die geen eigendom zijn van Adobe.

De valse updatesoftware wordt slachtoffers voorgeschoteld via een geloofwaardig uitziend pop-upvenster in de browser. Als een slachtoffer doorklikt naar de download, verschijnt een melding dat er wordt geprobeerd om software van een onbekende uitgever te installeren. Dit zou het slachtoffer moeten alarmeren, maar als hij of zij de waarschuwing negeert, wordt op de achtergond een cryptominer geïnstalleerd.

 

Fake Flash Update Flowchart
Flowchart van de aanval (Beeld: Palo Alto Networks)

Het gaat meer bepaald om een XMRig-miner die de rekenkracht van de pc van het slachtoffer gebruikt om ongemerkt de cryptomunt Monero te minen. Daarnaast wordt op de voorgrond ook daadwerkelijk een Flash-update gedownload en geïnstalleerd, met authentieke installatievensters, zodat het slachtoffer zich van geen kwaad bewust is.

“Deze campagne gebruikt legitieme activiteit om de verspreiding van cryptocurrency miners en andere ongewenste programma’s te verbergen. Organisaties met goede webfiltering en goed opgeleide gebruikers hebben een veel lager risico op infectie door deze valse updates”, besluit Brad Duncan, Threat Intelligence Analyst bij Palo Alto.

Gerelateerd: Goede IT-security begint niet bij technologie, maar bij de mens