Opgelet: deze malware vermomde zich eerst als gratis pdf-editor en steelt nu massaal wachtwoorden
Onderzoekers van Truesec en G DATA vestigen de aandacht op TamperedChef, malware die bedoeld is om wachtwoorden en cookies te stelen. De aanvallers achter de malware zijn echter sluw te werk gegaan, wat TamperedChef extra gevaarlijk maakt.
In eerste instantie leek er geen vuiltje aan de lucht. De malware werd gepresenteerd als een legitieme en bovendien gratis pdf-editor. Via advertenties werden slachtoffers naar professioneel ogende websites gelokt om “AppSuite PDF Editor” te downloaden. Na installatie bleek de editor ook echt te werken en er gebeurden geen vreemde dingen. Op de achtergrond echter werd een extra proces klaargezet dat op een latere datum geactiveerd kon worden om wachtwoorden en cookies te stelen.
De malware zou al sinds minstens eind juni verspreid worden, maar het stelen van gegevens begon pas op 21 augustus. TamperedChef kreeg dus minstens anderhalve maand de tijd om zich te verspreiden alvorens toe te slaan. Niet alleen via de advertenties werden slachtoffers verleid om de malware te installeren, mogelijk werd de malware ook door bestaande slachtoffers aan nieuwe slachtoffers aanbevolen omdat alles lange tijd legitiem leek. De malafide campagne zou momenteel ook nog steeds actief zijn, dus het gevaar is zeker nog niet geweken.
Malvertising via Google
De websites achter AppSuite PDF Editor werden specifiek geoptimaliseerd om goed te scoren in advertenties en zoekresultaten. Na onderzoek bleken er voor de malware verschillende grote reclamecampagnes te zijn opgezet via Google, wat meteen nog eens duidelijk maakt dat je ook in het geval van reclame op je hoede moet zijn.
Het is alleszins een populaire manier van aanvallers om malware tot bij hun slachtoffers te krijgen en er is ook een specifieke naam voor: malvertising, waarbij malware vermomd wordt als op het eerste zicht legitieme software die via advertenties gepromoot wordt. In het kader van dit onderzoek werden trouwens ook nog gelijkaardige websites ontdekt voor tools als “PDF OneStart” en “PDF Editor”, waarbij de meegeleverde malware soms meer of andere dingen deed dan wachtwoorden en cookies stelen. De malware kan ook dienst doen als backdoor om bijkomende malware te downloaden en een systeem verder te infecteren.
Wat kan je doen?
Zoals steeds is je gezond verstand de beste verdediging: download niet zomaar een onbekende tool die je via een advertentie ziet passeren en maak rechtstreeks gebruik van officiële websites en app stores.
Heb je recent toch een verdachte applicatie gedownload, dan doe je er goed aan die te verwijderen, een scan met je beveiligingssoftware uit te voeren en je wachtwoorden voor alle zekerheid aan te passen. Bekijk zeker ook verdachte activiteiten bij het opstarten en geplande taken. Merk je vreemde dingen op, dan kan je in het slechtste geval je systeem helemaal opnieuw installeren, uiteraard pas na een back-up van je belangrijkste gegevens.
Beheerders van grotere netwerken, bijvoorbeeld binnen een bedrijf, krijgen het advies om na te gaan of er verkeer is geweest naar verdachte domeinnamen. Het kan ook geen kwaad om uit voorzorg regels en protocollen rond het installeren van applicaties te herbekijken en eventueel aan te scherpen.
