Toolbar Ask.com opnieuw gebruikt voor verspreiden van malware

De toolbar kan op verschillende manieren op een computer worden geïnstalleerd, zoals bijvoorbeeld via Oracle’s Java. Het programma is op zich reeds vrij omstreden. Ze wordt door menig aantal experts dan ook bestempeld als adware.

Vergelijkbare werkwijze met eerder incident

De werkwijze van de hackers is vergelijkbaar met het eerste incident welke plaatsvond in de maand november. Ook toen maakten de aanvallers gebruik van het updatemechanisme van de toolbar om updates te verspreiden die waren geïnfecteerd met malware. Dit meldt het beveiligingsbedrijf Carbon Black. Ondanks het feit dat de Ask Toolbar uitsluitend gesigneerde software-updates accepteert bleek dit geen enkel probleem te zijn voor de aanvallers. Zij wisten hun malware moeiteloos gesigneerd te krijgen en dat dus niet één, maar wel twee keer.

Volledige controle over het systeem

Op het ogenblik dat de malware actief wordt heeft deze meteen de volledige controle over het systeem. De aanvaller hoeft in dit geval dus niet zijn rechten te verhogen omdat de toolbar van Ask.com zelf reeds met systeemrechten draait. De besmette systemen werden vervolgens aangewend door de aanvallers om zich doorheen het netwerk te bewegen waar ze extra tools met malware konden installeren. In een reactie stelde Carbon Black reeds dat het hierbij meer dan waarschijnlijk gaat om een aanval die is uitgevoerd door een "geraffineerde hacker".