Malafide software aangeboden via site Het Parool

Detectie van de infectie

Digital Investigation voert Netwerk Security Monitoring uit vanuit het DI-SOC in Hilversum. Deze dienst monitort het netwerk van onze klanten op malafide activiteiten. Op 25 mei 2016 hebben wij een infectie bij een van onze klanten geconstateerd nadat de site "meer.parool.nl" bezocht was.

 

Infectie

Via een script op de pagina "meer.parool.nl" is er malafide code ingeladen. Deze code werd weergegeven vanuit een iframe:

InfectieParool

 

De volgende domeinnamen zijn door het DI-SOC gedetecteerd in het iframe:

zjkocuo.hopto.org (83.217.27.178)
ulfjymat.hopto.org (83.217.27.178)

Via het iframe werd vervolgens een pseudo-darkleech pagina ingeladen.
Via deze pagina werd vervolgens een Angler Exploit Kit pagina aangeroepen op onderstaand domein:

mythopoelbiddau.salisburythyrecompany.co.uk (136.243.111.136)

Vanuit deze exploit kit worden vervolgens enkele controles uitgevoerd op het systeem en afhankelijk van de gebruikte versie van Internet Explorer / Adobe Flash, CryptXXX ransomware gestart. Ransomware is malware dat bestanden versleuteld en pas tegen betaling weer vrijgeeft.

 

Advies

Aangezien Exploit Kits gebruik maken van niet geüpdatete systemen is het raadzaam de systeemupdates uit te blijven voeren. Verifieer daarnaast de noodzaak van het gebruik van Adobe Flash op systemen en verwijder de software indien niet langer noodzakelijk.

No Comments Yet.

Leave a comment

You must be Logged in to post a comment.