Cybercriminelen hebben een cyberaanval gemaakt die heimelijk systemen infiltreert met malware die data steelt. Daarna wordt er ransomware op het geïnfecteerde systeem geplaatst. Onderzoekers van Malwarebytes schrijven over de aanval.
De campagne gebruikt exploits in Internet Explorer en Flash Player, die geleverd werden in de Fallout exploit kit. Malwarebytes stelt dat de campagne verspreid wordt via een malvertising-campagne, die zich richt op torrent- en streaming-sites met veel verkeer. De campagne stuurt gebruikers door naar twee malafide payloads.
De eerste payload is Vidar, een relatief nieuwe vorm van malware die zich richt op grote hoeveelheden aan informatie van slachtoffers. Het gaat onder meer om wachtwoorden, documenten, internetgeschiedenis, creditcard-gegevens en screenshots. Vidar kan zich ook richten op virtuele wallets met daarin cryptovaluta. De malware kan aangepast worden en is verspreid door diverse cybercriminelen in verschillende campagnes.
Vidar is ontworpen om in het geheim te werken. Daardoor hebben slachtoffers niet door dat hun systemen geïnfecteerd zijn. De aanvaller kan de private informatie stelen in een pakketje, die verzonden wordt naar een command-and-control (C&C) server. Die C&C-server werkt ook als een downloader voor andere vormen van malware. Onderzoekers hebben gezien dat de server ook gebruikt werd om GrandCrab-ransomware te verspreiden.
GrandCrab
GrandCrab is een van de meest actieve families van ransomware die nu gebruikt wordt. Het wordt regelmatig geüpdatet met nieuwe functies om het krachtiger te maken. Ook wordt het daarmee moeilijker voor beveiligingssoftware om de ransomware te detecteren en te analyseren.
In dit geval wordt GrandCrab versie 5.04 ongeveer een minuut na de eerste Vidar-infectie op een systeem geplaatst. Het systeem wordt versleuteld en er verschijnt een bericht waarin om losgeld gevraagd wordt. Er wordt gevraagd om een betaling in bitcoin of dash, in ruil voor het ontgrendelen van de bestanden.
Het is ook mogelijk dat GrandCrab geplaatst wordt om ervoor te zorgen dat slachtoffers de Vidar-malware niet ontdekken. Een andere mogelijkheid is dat er geprobeerd wordt om het geïnfecteerde systeem te verwoesten.
Om te voorkomen dat gebruikers het slachtoffer worden van de campagne, raadt beveiligingsonderzoeker Jérôme Segura van Malwarebytes aan om systemen up-to-date te houden. “We raden ook web-bescherming en ad blockers aan om te voorkomen dat je wordt omgeleid naar malafide payloads via malvertising.”