Na de arrestatie van een beruchte Russische exploitkit-auteur zoeken cybercriminelen tijdelijk hun heil in besmette ZIP-bijlagen om internetgebruikers met malware te infecteren. Dat stelt beveiligingsbedrijf Websense. Het bedrijf analyseerde het e-mailverkeer van de afgelopen maanden.

Daaruit blijkt de impact van de arrestatie van een Russische programmeur met het alias "Paunch", die begin oktober door de Russische autoriteiten werd aangehouden. Paunch was de ontwikkelaar van de Blackhole-exploitkit, een programma dat veel cybercriminelen gebruikten om internetgebruikers met malware te besmetten. Blackhole maakte misbruik van lekken in populaire software die gebruikers niet hadden gepatcht.

Zodra deze gebruikers een gehackte of kwaadaardige website bezochten waarop de Blackhole-exploitkit actief was, werd er stilletjes malware op de computer geplaatst. Om internetgebruikers naar dit soort websites te lokken werden onder andere e-mails met linkjes gebruikt.

Tactiek

Door de aanhouding van Paunch en het wegvallen van de Blackhole-exploitkit werden cybercriminelen gedwongen een andere tactiek toe te passen. In eerste instantie werd er nog met een andere exploitkit genaamd 'Magnitude' geëxperimenteerd, maar dat bleek geen succes, aldus Websense. Daardoor gebruiken verschillende cybercrimegroepen nu voornamelijk e-mailbijlagen. In de meeste gevallen wordt er een ZIP-bestand aan het bericht toegevoegd. Zodra een gebruiker de bijlage opent wordt de malware actief.

Volgens Websense zal de overstap naar e-mailbijlagen van korte duur zijn. Het gebruik van een linkje waarop de gebruiker moet klikken is nog altijd effectiever dan openen van een e-mailbijlage waarmee de gebruiker zijn eigen computer infecteert, stelt analist Ran Mosessco.

Hij voorspelt dan ook dat cybercriminelen de komende maanden weer linkjes in e-mailberichten zullen gaan gebruiken die naar besmette websites wijzen. "Het gebruik van exploitkits is gewoon een veel effectievere verspreidingsmethode, zeker met een doelgroep die steeds security-bewuster wordt."