Een beveiligingslek in Internet Explorer dat Microsoft nog geen drie weken geleden patchte wordt nu actief gebruikt om computers met ransomware te infecteren. De kwetsbaarheid is aanwezig in IE6 tot en met IE11. Het bezoeken van een kwaadaardige of gehackte website of het te zien krijgen van een besmette advertentie is voldoende voor een aanvaller om bijvoorbeeld malware op de computer te installeren.

De exploit die van de kwetsbaarheid gebruik maakt is ontwikkeld door de makers van de Angler Exploitkit. Volgens beveiligingsonderzoeker 'Kafeine' van het blog Malware don't need Coffee zouden de makers mogelijk al sinds 24 juli met de ontwikkeling van de exploit bezig zijn geweest, twee dagen na het verschijnen van de update. De makers van Angler ontwikkelden voorheen vaak zeer snel exploits voor net gepatchte beveiligingslekken in Adobe Flash Player. Veel internetgebruikers zijn traag met patchen. Ook al zijn er beveiligingsupdates beschikbaar, dan zijn er nog altijd computers die niet up-to-date zijn en kunnen worden aangevallen.

Adobe

Volgens beveiligingsbedrijf FireEye is het opmerkelijk dat de makers van de Angler Exploitkit zich nu opeens op een IE-lek richten. De afgelopen maanden werden namelijk alleen exploits voor Flash Player-lekken ontwikkeld, met een exploit voor Microsoft Silverlight als uitzondering. Een mogelijke verklaring is volgens het beveiligingsbedrijf bij de beveiligingsmaatregelen die Adobe heeft getroffen om misbruik van kwetsbaarheden tegen te gaan.

Afhankelijk van de software die internetgebruikers geïnstalleerd hebben, probeert de Angler Exploitkit aanvallen via kwetsbaarheden in Flash Player, Silverlight en Internet Explorer. In het geval de aanval succesvol is wordt de Cryptowall-ransomware geïnstalleerd. Deze ransomware versleutelt bestanden op de computer en vraagt vervolgens een bedrag om ze te ontsleutelen.