Malware Yahoo bedoeld om bitcoins te genereren
De cybercriminelen die vorige week het reclamenetwerk van Yahoo aanvielen, deden dat om een groot bitcoin-miningnetwerk op te zetten. Dat zegt het beveiligingsbedrijf Light Cyber. Yahoo zelf geeft geen commentaar.
Verouderde Java
Op 3 januari kregen bezoekers van Yahoo.com besmette reclamebanners voorgeschoteld, die hen doorstuurden naar een site met de Magnitude Exploit Kit. Die kit bevat een hele reeks tools om verouderde Java-versies aan te vallen.
[related_article id=”161920″]
Zoals zoveel kits, bestaat hij uit een giftige cocktail van banktrojans, downloaders en adware.
27.000 per uur
Het Nederlandse Fox-IT, dat de aanval het eerst signaleerde, stelde vast dat de overgrote meerderheid van de besmettingen, die plaatsvond op ongeveer 27.000 pc’s per uur, in Europa gebeurde. Voornamelijk op Windows-pc’s in het Verenigd Koninkrijk, Frankrijk en Roemenië.
In eerste instantie bevestigde Yahoo dat er op 3 januari kwaadaardige reclame had gestaan op zijn Europese sites, die niet aan de "redactionele voorwaarden" had voldaan. Vorige zondag moest het bedrijf echter toegeven dat de startdatum van de besmetting al op 31 december lag.
Het herhaalde ook nog eens dat gebruikers in Noord-Amerika, Zuid Oost-Azië en Zuid-Amerika niet in de aanval betrokken waren, net zo min als Mac-gebruikers en mobiele surfers.
Bitcoins genereren
Volgens Light Cyber echter begon de aanval zelfs al op 29 december en bevonden er zich ook bitcoinminers in de mix van aanvallen. Dat soort miners wordt meestal gebruikt om de pc’s van slachtoffers in te zetten om de virtuele munt bitcoins te genereren. De cybercriminelen kunnen die dan later voor eigen gebruik aanwenden.
“De aanvallers deden hun uiterste best om de bitcoins zo efficiënt mogelijk te genereren”, zegt Light Cyber-oprichter Giora Engel. “Ze gebruikten 64-bit bitcoin-miningsoftware als de pc van het slachtoffer dit ondersteunde.”
Besmette systeembestanden
In een advies aan zijn klanten somt Light Cyber enkele tekenen van een besmetting op. Communicatie met een van de volgende domeinen duidt met zekerheid op een infectie:
· skmymmeiaoooigke.org
· bgdjstkwkbhagnp.org
· ceigqweqwaywiqgu.org
· smsfuzz.com
Wie een van de volgende systeembestanden op zijn pc heeft staan, heeft het ook zitten:
· %windows%Installer{4A74FBA7-71A0-BEA1-F538-72E3D519AA4F}syshost.exe
· %localappdata%temp????????.lnk (8 hex characters)
· %localappdata%temp????????.exe (8 hex characters)
· %localappdata%tempvedefuzunwi.exe
· %programdata%bbtmp0jtkyygiu.exe
· c:tempzcompute.exe
· %localappdata%cygwin1.dll
· %localappdata%wuauclt.exe
Met de laatste twee (cygwin1.dll en wuauclt.exe) moet men wel voorzichtig zijn. Deze worden ook door legitieme software gebruikt, maar niet in dit pad.
Opvolger van Blackhole
Specialisten verwachten overigens ook dat we het laatste nog niet gehoord hebben van de Magnitude Exploit Kit. Volgens security-onderzoekers Kafeine, dat dit soort kits in de gaten houdt, zou Magnitude wel eens een opvolger kunnen worden van het beruchte Blackhole. Dat was zowat de koning van de kits, totdat de maker ervan vorig jaar gearresteerd werd.
(Beeld: Alexander Kirch)