Cybercriminelen hebben vorige week een groot aantal subdomeinen aangemaakt en gebruikt voor het aanvallen van Flash Player-gebruikers. Voor het uitvoeren van de aanval gebruikten de aanvallers meer dan 50 legitieme GoDaddy-accounts die ze hadden gekaapt. GoDaddy is een registrar waar internetgebruikers domeinnamen kunnen registreren. Daarnaast kunnen klanten via het GoDaddy-account hun domeinnamen beheren. Door deze accountgegevens te stelen hadden de aanvallers toegang tot een groot aantal domeinnamen.

Ze gebruikten de toegang voor het aanmaken van subdomeinen, die vervolgens werden gebruikt voor het hosten van een Flash Player-exploit. Het gaat hier om een exploit voor een lek in Adobe Flash Player dat op 24 januari van dit jaar werd gepatcht. Het gebruik van de subdomeinen vond plaats tussen 26 en 30 januari. In tegenstelling tot veel aanvallen waarbij cybercriminelen legitieme websites hacken en gebruiken voor het infecteren van bezoekers, werden in dit geval de hoofddomeinen niet aangepast.

De aanvallers gebruikten de aangemaakte subdomeinen voor het hosten van de Flash Player-exploit alsmede een exploit voor Microsoft Silverlight. Via besmette advertenties werd er vervolgens naar deze subdomeinen verwezen. Gebruikers met een kwetsbare Flash Player die de advertenties te zien kregen konden op deze manier met malware besmet raken, zo stelt Cisco. Uit statistieken van VirusTotal blijkt dat de exploits nauwelijks door virusscanners werden gedetecteerd, wat aangeeft dat het belangrijk is om beschikbare updates meteen te installeren.