Bezoekers van verschillende pornosites, waaronder één die in de Top 1000 van meeste bezochte sites op internet staat, zijn aangevallen via een lek in Adobe Flash Player waarvoor pas de afgelopen dagen een update verscheen. De aanval vond plaats via advertenties die op de pornosites werden getoond.

Dat meldt beveiligingsbedrijf FireEye. Zodra de advertenties in een kwetsbare browser werden getoond kon er malware op het systeem worden geplaatst. Om welke websites het precies gaat laat de IT-beveiliger niet weten. Wel gebruikten de advertenties een variant van de aanval die in eerste instantie werd waargenomen. Die eerste aanval werd via de Angler Exploitkit uitgevoerd, terwijl de nieuwe aanval geen gebruik van deze exploitkit maakt.

De oorspronkelijke Angler-aanval gebruikt geobfusceerde JavaScript en probeert de aanwezigheid van Virtual Machines en virusscanners te detecteren, terwijl de nieuwe variant helemaal geen obfuscatie gebruikt of de omgeving analyseert. De exploit voor Flash Player wordt in dit geval via normale JavaScript geladen. Is de aanval succesvol dan wordt er een variant van de Reveton-ransomware geïnstalleerd. Reveton vergrendelt de computer en stelt dat de gebruiker een misdrijf heeft begaan. Om strafvervolging te voorkomen en weer toegang tot het systeem te krijgen moet er een geldbedrag worden betaald.

Inmiddels is er voor alle gebruikers een update uitgekomen die het lek verhelpt. Via deze pagina kan worden gecontroleerd welke Flash Player-versie op de computer is geïnstalleerd. Het Finse F-Secure laat weten dat de Angler Exploitkit afgelopen week de populairste exploitkit onder cybercriminelen was. De virusbestrijder adviseert internetgebruikers naast het installeren van de update ook om click-to-play in te stellen. In dit geval moet de gebruiker eerst op een Flash-object klikken voordat het wordt geladen. Op deze manier kan het automatisch infecteren van de computer via browserplug-ins worden voorkomen.