Criminelen hebben afbeeldingen via Facebook en LinkedIn verspreid die gebruikers met ransomware proberen te infecteren. De aanval doet enigszins denken aan een aanvalsmethode die in 2008 voor het eerst opdook en waar Microsoft in 2010 ook nog een keer voor waarschuwde.

Destijds ging het net als nu om afbeeldingen waar kwaadaardige code aan is toegevoegd. Vervolgens worden de afbeeldingen door de aanvallers op social mediasites zoals Facebook en LinkedIn geplaatst. "De aanvallers maken misbruik van een misconfiguratie in de infrastructuur van social mediasites om slachtoffers opzettelijk hun afbeelding te laten downloaden", zegt Roman Ziakin van beveiligingsbedrijf Check Point. Details over de aanvalsmethode wil het beveiligingsbedrijf niet geven totdat social mediasites de kwetsbaarheid hebben verholpen.

Wel is er een demonstratievideo vrijgegeven. Daarop is te zien hoe er een jpg-bestand wordt geupload op Facebook. Vervolgens moet het slachtoffer op de afbeelding klikken. Hierna krijgt het slachtoffer een downloadvenster te zien waarin hem wordt gevraagd om een hta-bestand te downloaden. Zodra de gebruiker vervolgens het gedownloade hta-bestand opent wordt er ransomware op de computer gedownload die allerlei bestanden versleutelt.

Hta staat voor html-applicatie en is eigenlijk een html-bestand dat scripting ondersteunt. Het is vaker door malware gebruikt en fungeert vaak als "downloader" om aanvullende malware te downloaden. Zo waarschuwde beveiligingsbedrijf App River in augustus van dit jaar nog voor hta-bestanden in zip-bestanden die via e-mail werden verspreid en volgde er eind oktober een zelfde soort waarschuwing van Cisco. Internetgebruikers krijgen het advies, als ze op een afbeelding hebben geklikt en de browser vervolgens een bestand downloadt, dit bestand niet te openen. Ook moeten er geen afbeeldingen met ongewone extensies zoals .svg, .js en .hta worden geopend.

Update

Beveiligingsonderzoeker Bart Blaze waarschuwde eerder deze week al voor de aanvalsmethode.