Kwaadaardige advertenties, waarvan sommige te zien waren op Youtube, leidden in een maand tijd meer dan 113.000 mensen in de Verenigde Staten naar kwalijke websites. Dat meldt Trend Micro. Google, de eigenaar van Youtube, wil nog niet reageren.
Hoewel online advertentiebedrijven dergelijke advertenties proberen op te sporen en te blokkeren binnen hun netwerk, komt er af en toe eentje door. Voor hackers levert het heel veel op als het lukt. Het betekent namelijk een grote hoeveelheid potentiële slachtoffers als de advertentie te zien is op een drukbezochte website.
Via Nederland
“Dit is een verontrustende ontwikkeling”, zegt fraude-onderzoeker Joseph Chen in een blog van Trend Micro. “Niet alleen hadden de kwaadaardige advertenties hun weg naar Youtube gevonden, ze waren ook nog eens te zien bij filmpjes met meer dan elf miljoen views. Bijvoorbeeld bij een muziekvideo van een bekende platenmaatschappij.”
Chen schrijft verder dat gebruikers die op de advertenties klikten via twee servers in Nederland omgeleid werden om uiteindelijk op de kwaadaardige server in Amerika te belanden. Daarop stond de Sweet Orange geïnstalleerd. Deze exploitkit checkt of je pc een van de vier zwakke plekken heeft in Internet Explorer, Java of Adobe Flash.
Gegevens gijzelen
Als de aanvaller succesvol is, wordt malware uit de Kovter-familie op het systeem geplaatst. Chen weet te melden dat dit in het verleden is gebruikt voor ransomware. Dergelijke aanvallen proberen de gebruiker af te persen door hem een boete te laten betalen of door zijn bestanden te versleutelen.
De Kovter-malware wordt gehost op een subdomein van een website van de Poolse overheid die gehackt is. De aanvallers hebben de DNS-informatie aangepast door subdomeinen toe te voegen die doorverwijzen naar hun eigen servers. Het is voor Chen onduidelijk op welke manier ze dit voor elkaar hebben gekregen.
