Beveiligingsbureau Trend Micro heeft een malware-aanval ontdekt die zich via advertentienetwerken verspreidde. Opvallend detail is dat de malware zich verstopte achter het gratis beveiligingscertificaat Let's Encrypt. Daardoor ontstaat nu een discussie over wie er verantwoordelijk is bij zulke aanvallen.
Trend Micro ontdekte de 'malvertising' al op 21 december vorig jaar, maar brengt die nu aan het licht.
Nagemaakte website
De aanvallers maakten gebruik van een nagemaakte website, zoals wel vaker het geval is bij malware-aanvallen. Opvallend is echter dat die website verstopt zat achter het Let's Encrypt-certificaat. Dat is een nieuw, gratis en open source SSL/TLS-certificaat dat wordt gebruikt om verkeer naar websites te versleutelen.
Exploits
Als bezoekers naar de malafide website surften, werden zij omgeleid naar een domein waarop een exploit kit draaide die zocht naar zwakheden in het systeem van de gebruiker.
Versleuteld
Omdat het verkeer van en naar de website werd versleuteld, is het een stuk moeilijker om erachter te komen wie de slachtoffers van de aanval zijn, en belangrijker, wie erachter zit.
Verantwoordelijk voor aanvallen
Inmiddels doet zich de vraag voor wie er verantwoordelijk is voor zulke aanvallen. In principe kan de organisatie achter Let's Encrypt de certificaten handmatig intrekken, maar de vraag is of dat realistisch is. Omdat Let's Encrypt gratis is, is het mogelijkd at het straks op honderden websites wordt gebruikt. Het is dan niet haalbaar om alle malafide certificaten terug te halen.
De organisatie achter Let's Encrypt (privacyvoorvechters EFF) zeggen echter dat Let's Encrypt gebruik maakt van Googles 'Safe Browsing'-API, die ervoor zorgt dat malafide websites automatisch worden geblokkeerd.