Onderzoekers hebben een campagne ontdekt waarbij malware werd verspreid via de wifi-netwerken van hotels. De aanvallers hadden het daarbij op speciale hotelgasten voorzien. Op de portaalpagina van het hotel om verbinding met het wifi-netwerk te maken hadden de aanvallers een iframe verborgen. Dit iframe toonde een pop-up die zich voordeed als update voor populaire software, zoals Adobe Flash Player, Google Toolbar en Windows Messenger. In werkelijkheid ging het hier om malware.

Volgens onderzoekers van anti-virusbedrijf Kaspersky Lab (PDF) is het meest interessante aan deze aanvalsmethode dat er alleen specifieke hotelgasten werden aangevallen. Bij de hotels in kwestie moesten gasten met hun achternaam en kamernummer inloggen. Alleen een select aantal gasten kreeg de malware echter voorgeschoteld. Dat lijkt erop dat de reserveringsinformatie door de aanvallers is gebruikt, maar hard bewijs hiervoor ontbreekt. Zodra de aanval was uitgevoerd werden alle sporen gewist. De virusbestrijder laat weten dat alle getroffen hotelportals op dit moment worden gecontroleerd, opgeschoond en extra zullen worden beveiligd.

Torrent

Een andere manier waarop de aanvallers hun malware hebben verspreid is via torrent-bestanden. Daarbij werd er op verschillende Japanse P2P-sites een 900MB groot bestand geplaatst. Dit bestand deed zich onder andere voor als seksueel getint materiaal, maar bevatte een Trojaans paard. De derde verspreidingsmethode die de aanvallers hanteerden was spear phishing. Hierbij werden op maat gemaakte e-mails met kwaadaardige bijlagen en links verspreid, die van zero day-lekken in Adobe Flash Player en Internet Explorer gebruik maakten om doelwitten met malware te infecteren.

Zodra de malware op de computer actief was werden er allerlei inloggegevens en wachtwoorden uit de browser gestolen. Daarbij ondersteunde de malware Internet Explorer, Firefox en Chrome. Daarnaast verspreidde de malware ook ander malware die computers weer via USB-sticks en gedeelde netwerkmappen kon infecteren.

Certificaat

Wat ook aan de malware opvalt is dat de aanvallers hun malware met gestolen certificaten en frauduleus gegenereerde certificaten van de Maleisische certificaatautoriteit Digicert signeerden. Dit was mogelijk omdat Digicert zwakke SSL-certificaten uitgaf. Na de ontdekking van deze werkwijze werd het bedrijf in 2011 door zowel Mozilla, Apple als Microsoft uit de browser verbannen. De meeste slachtoffers van de aanvalscampagne, die al sinds 2007 actief is, bevinden zich in Japan, Taiwan, China, Rusland, Zuid-Korea en Hong Kong.