Slik kan de falske oppdateringsvarslene se ut. De er vanskelig å skille fra ekte vare.
Slik kan de falske oppdateringsvarslene se ut. De er vanskelig å skille fra ekte vare. (Foto: Malwarebytes)

Falske nettleseroppdateringer sprer ondsinnet programvare

Ondsinnet programvare spres på mange forskjellige måter, og nå melder sikkerhetsselskapet Malwarebytes om et nytt utbrudd av skadevare som spres gjennom falske nettleseroppdateringer.

Skadevaren omfatter blant annet «banking»-programmer, som kan brukes til å stjele bankinnloggingsinformasjon, samt programmer som kan brukes til å overføre filer eller fjernstyre PC-er.

Den nye skadevare-kampanjen, som først ble oppdaget i desember, går ut på at hackere legger inn kode i legitime nettsider på nettet. Koden gjør at besøkende får opp et vindu med beskjed om å oppdatere nettleseren når de besøker nettsidene, nærmere bestemt Chrome eller Firefox, og i noen tilfeller Flash. Disse oppdateringsvinduene skal se helt autentiske ut.

De farlige programmene signeres digitalt og ser legitime ut. Foto: Malwarebytes

Starter med «lokkefil»

Ved å klikke på det falske oppdateringsvinduet laster man ned en JavaScript-fil fra et annet legitimt nettsted, skytjenesten Dropbox. JavaScript-filen brukes av hackerne til å se etter – og unngå – virtuelle maskiner og såkalte «sandbox»-funksjoner. Sistnevnte er en sikkerhetsmekanisme for å isolere ukjente og tvilsomme programmer.

Etter at disse sjekkene er gjennomført leveres «hovedlasten», som er en .exe-fil med det ondsinnede programmet som signeres med en OS-godkjent digital signatur. Dersom JavaScript-programmer finner sikkerhetsmekanismer vil hovedprogrammet ikke blir levert til målet.

Ifølge Malwarebytes gir bruken av en «lokkefil» i form av JavaScript-filen hackerne stor fleksibilitet til å tåkelegge aktiviteten og skjule «fingeravtrykkene» sine, så det dreier seg altså om ganske sofistikerte bakmenn.

Nettsider som skal ha blitt infisert med den ondsinnede koden som ligger bak de falske oppdateringsvarslene skal blant annet omfatte nettsider publisert med publiseringsverktøyene WordPress, Joomla og SquareSpace. Sikkerhetsselskaper vet ikke nøyaktig hvor mange nettsider som er rammet til sammen.

Flere detaljer kan du finne på bloggen til Malwarebytes.

Nytt Facebook-«virus» herjer i Norge: Spres via Facebook Messenger kamuflert som YouTube-lenker »

(Via Ars Technica)

Norges beste mobilabonnement

Januar 2018

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Komplett MiniFlex 1 GB


Jeg bruker middels mye data:

Telipol Fri 6GB


Jeg bruker mye data:

Telipol Fri 12GB


Jeg er superbruker:

Telipol Fri 30GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen