Mac- en Windowsgebruikers zijn het doelwit van verschillende aanvalscampagnes waarbij zogenaamde Flash Player-updates worden gebruikt om computers met malware te infecteren. Ook worden zogenaamde Chrome-, Firefox- en andere browserupdates als lokaas gebruikt.

Voor het verspreiden van de zogenaamde Flash Player-updates maken de aanvallers gebruik van malafide advertenties. De fake browserupdates worden via gecompromitteerde websites verspreid. De advertenties en websites laten gebruikers zien dat ze hun Flash Player of browser via het aangeboden bestand moeten updaten. Een tactiek die in het verleden veelvuldig werd ingezet. Nu melden drie verschillende securitybedrijven dat internetgebruikers opnieuw doelwit van de tactiek zijn.

Antivirusbedrijf Trend Micro ontdekte besmette advertenties die een kwaadaardig HTA-bestand aanbieden. Deze zogenaamde Flash Player-update is in werkelijkheid de KovCoreG-malware. Deze malware downloadt aanvullende kwaadaardige scripts die onder andere Windows Defender en Windows Update uitschakelen. Ook wordt er een backdoor geïnstalleerd die verschillende aanvallen mogelijk maakt.

Zo kan de backdoor worden gebruikt om gebruikers een zogenaamde foutmelding te tonen dat er iets mis is met de computer en ze een opgegeven telefoonnummer moeten bellen. Op deze manier kan men slachtoffer van helpdeskfraude worden. Tevens kan de malware de computer als proxy voor clickfraude gebruiken.

MacOS

Securitybedrijf Confiant meldt ook een aanval met zogenaamde Flash Player-updates, alleen dan gericht tegen macOS-gebruikers. Wederom is de aanvalsvector besmette advertenties die naar een dmg-bestand linken. De applicatie in kwestie is met een Apple-ontwikkelaarscertificaat gesigneerd. Deze applicatie is in werkelijkheid de Shlayer-malware die vervolgens de Tarmac-malware downloadt.

Deze malware stuurt informatie over het systeem terug naar de aanvallers en wacht op verdere instructies. De webpagina die de instructies geeft werd echter na een week verwijderd. Daarnaast was het niet mogelijk om de inkomende instructies te ontsleutelen, waardoor het doel van Tarmac onduidelijk is.

Ransomware

Naast de zogenaamde Flash Player-updates ontdekte securitybedrijf FireEye een aanval met fake Chrome-, Internet Explorer-, Opera- en Firefox-updates. Deze zogenaamde updates worden via gecompromitteerde websites aangeboden. In werkelijkheid gaat het om malware die, wanneer door de gebruiker geïnstalleerd, informatie over het systeem verzamelt en terugstuurt naar de aanvallers. Vervolgens kunnen de aanvallers aanvullende malware installeren, waaronder de banking Trojan Dridex en de BitPaymer-ransomware.