Provider voorziet downloads opnieuw van spyware

[Captain Kirk]

Een internetprovider in een niet nader genoemd land voorziet progamma's die abonnees willen downloaden opnieuw van spyware, zo laat anti-virusbedrijf ESET weten. In september waarschuwde de virusbestrijder voor een aanval waarbij providers in twee landen actief voor getrojaniseerde downloads zorgden.

Als het doelwit van de surveillance-operatie een populaire applicatie wilde downloaden, zoals WhatsApp, VLC, WinRAR, Skype of Avast, werd hij door de provider doorgestuurd naar de server van de aanvallers. Daar werd een getrojaniseerde versie van de applicatie aangeboden. Tijdens de installatie wordt vervolgens de legitieme applicatie en de FinFisher-spyware geïnstalleerd. Via de FinFisher-spyware wordt volledige controle over het systeem verkregen en is het mogelijk om live met de webcam mee te kijken en de microfoon af te luisteren.

Nadat ESET het nieuws over de aanvallen op 21 september naar buiten bracht stopten die. Op 8 oktober werd in één van de twee landen de campagne hervat, zo meldt het anti-virusbedrijf vandaag. Wederom worden gebruikers bij het downloaden van populaire software naar een kwaadaardige server doorgestuurd. Het gaat om downloads van CCleaner, Driver Booster, Opera, Skype, VLC media player en WinRAR. In plaats van de FinFisher-spyware wordt nu echter de StrongPity-spyware geïnstalleerd. Via deze spyware zoeken de aanvallers naar allerlei soorten documenten. In welk land de aanvallen zijn waargneomen laat ESET niet weten. Wel heeft de virusbestrijder verschillende indicators of compromise gepubliceerd die gebruikers kunnen helpen bij het vinden van een infectie.

 

 

bron: security.nl