Downloadsites gebruikt om malware onder specifieke gebruikers te verspreiden

[Captain Kirk]

Generieke downloadsites zijn door een groep aanvallers gebruikt om malware onder specifieke gebruikers in Syrië en Turkije te verspreiden, zo stelt antivirusbedrijf Bitdefender in een vandaag verschenen analyse. De groep, die bekendstaat als StrongPity en Promethium, wist verschillende lokale downloadsites die in de regio worden gebruikt te compromitteren.

Wanneer gebruikers met bepaalde ip-adressen programma's zoals 7-zip, WinRAR, McAfee Security Scan Plus, Recuva, TeamViewer, CCleaner, Disk Drill of DAEMON Tools Lite wilden downloaden kregen ze een besmette installer aangeboden. Naast een legitieme versie van de software installeert deze installer ook een backdoor en een module die naar Microsoft Office-documenten en pdf-bestanden op het besmette systeem zoekt. Via de backdoor kunnen de aanvallers verdere commando's op het systeem uitvoeren en de gevonden documenten stelen.

Bitdefender ontdekte dat de meeste slachtoffers van de malware zich in de buurt van de grens tussen Turkije en Syrië bevinden. Onderzoeker Liviu Arsene laat aan Security.NL weten dat het hier niet om officiële downloadlocaties van de eerder genoemde programma's ging, maar om generieke websites die allerlei populaire software verzamelen en vervolgens vanaf één plek aanbieden.

Naast Bitdefender kwam gisteren Cisco ook met een analyse over StrongPity en het gebruik van getrojaniseerde installers. Volgens dat onderzoek zijn ook gebruikers in Colombia, India, Canada en Vietnam het doelwit van de groep geworden, waarbij besmette versies van Firefox, VPNpro, DriverPack en 5kPlayer werden gebruikt. Cisco stelt dat het geen bewijs heeft dat de officiële websites van de genoemde programma's zijn gecompromitteerd. In plaats daarvan wordt gedacht aan gecompromitteerde generieke downloadsites of man-in-the-middle-aanvallen.

 

bron: security.nl