Fake adblocker laat slachtoffers zelf malware installeren via Finger-protocol

[Captain Kirk]

Een malafide extensie in de Chrome Web Store die zich voordoet als adblocker uBlock Origin Lite crasht opzettelijk de browser van gebruikers en laat hen vervolgens als "oplossing" malware installeren, zo waarschuwt Microsoft. De methode wordt "CrashFix" genoemd en is een variant van "ClickFix", waarbij slachtoffers voor het oplossen van een zogenaamde CAPTCHA commando's op hun systeem moeten uitvoeren waarmee malware wordt geïnstalleerd.

De CrashFix-aanval waarvoor Microsoft waarschuwt begint bij een gebruiker die naar een adblocker zoekt. De aanvallers maken gebruik van malafide advertenties waarin een adblocker wordt geadverteerd. De advertentie linkt naar een browser-extensie in de Chrome Web Store die zich voordoet als de populaire adblocker uBlock Origin Lite. Enige tijd na de installatie voert de extensie een denial of service-aanval tegen de browser uit, waardoor die stopt met werken.

Vervolgens laat de extensie een pop-up zien die stelt dat "Microsoft Edge" beveiligingsproblemen heeft ontdekt. Om deze problemen op te lossen moet de gebruiker handmatig een commando uitvoeren. Hierbij wordt gebruikgemaakt van het Finger-protocol, dat eigenlijk bedoeld is voor het opvragen van informatie over gebruikers van een remote systeem. Het gebruik van het Finger-protocol is volgens Microsoft een opvallende nieuwe tactiek bij dit soort aanvallen.

Via het Finger-protocol wordt een PowerShell-script op het system van de gebruiker uitgevoerd, dat een ander script downloadt dat weer een remote access trojan (RAT) op het systeem installeert. Via deze malware hebben aanvallers volledige controle over het systeem. Volgens Microsoft laat de aanval zien dat aanvallers steeds vaker misbruik maken van "trusted user actions" en al aanwezige tooling op het systeem om beveiligingssoftware te omzeilen. Eerder kwam securitybedrijf Huntress al met een analyse van de aanval.

 

bron: https://www.security.nl