Aanvallers tonen gebruikers valse waarschuwingen over verlopen certificaten wanneer ze bepaalde gekraakte websites willen bezoeken. Wie zogezegd een nieuw certificaat downloadt, haalt malware binnen.
Hackers injecteren valse notificatiepagina’s over verlopen certificaten op gekraakte websites. Het gaat om sites die Windows Internet Information Services (IIS) gebruiken. Wie naar een getroffen site surft, krijgt een waarschuwing te zien over een verlopen certificaat. De pagina geeft de gebruiker de optie om via een knop een update uit te voeren. In werkelijkheid schuilt er achter de downloadknop malware.
Malware van dienst is TVRAT, kort voor TeamViewer RAT. Het virus misbruikt de populaire TeamViewer-software en installeert in alle stilte een versie van de tool op het getroffen systeem. Vanop de achtergrond maakt TVRAT vervolgens verbinding met een command and control-server. Daarlangs kunnen hackers de controle van de computer helemaal overnemen.
Onduidelijke vector
Het is vooralsnog niet duidelijk hoe aanvallers de IIS-servers hacken. Gekende kwetsbaarheden zijn intussen allemaal gepatcht, al wil dat niet zeggen dat iedere gebruiker beschikbare patches ook echt heeft geïnstalleerd. Er kan natuurlijk een nog niet ontdekte zero day in het spel zijn.
De malware in kwestie is moeilijk te herkennen voor een leek, aangezien de waarschuwingspagina er erg realistisch uitziet. Het gedownloade bestand heeft wel een .exe-extensie, waardoor je browser je in principe waarschuwt voor de gevaren van de installatie. Vermoedelijk is dat onvoldoende voor minder ervaren gebruikers. Zodra hackers de controle over een systeem overnemen, kunnen ze via TeamViewer hun gang gaan en bijvoorbeeld zelf ransomware installeren of bestanden stelen.