Malware verhuist naar de cloud

Dat de meeste malware voorkomt op de plaatsen waar het meeste internetverkeer plaatsvindt, zal geen verbazing wekken. Noch de aantrekkingskracht van cloudservers, die kunnen worden uitgebreid naarmate de zaken meer succes hebben. Het is handig om een IP-adres van Amazon of GoDaddy te hebben omdat die niet snel geblokkeerd zullen worden. Daarnaast veranderen kwaadaardige sites vaak van IP-adres om ontdekking te voorkomen; recordhouder in het vierde kwartaal van 2013 was bbe.rauzqivu.ru, dat 199 IP-adressen had in 2 weken.

Software en blauwe pillen

Solutionary analyseerde 750 binaries van de Franse hostingprovider OVH en constateerde dat het allemaal varianten van dezelfde adware (DomaIQ) waren, die doet alsof hij bona fide software installeert, maar intussen toolbars meebrengt en meer kwaadaardige software binnenhaalt via de browser. Volgens Solutionary vlogen de bestanden onder de radar van 46 bekende antiviruspakketten. De belangrijkste aanbeveling in het rapport is dan ook om de rechten van gebruikers om software te installeren niet te ruim in te stellen. Afgezien natuurlijk van het zorgen voor up-to-date webservers en -software; het grootste deel van de aangetroffen malware bevond zich op een server met Microsoft-IIS/6.0. Ook sites op ongepatchte versies van WordPress, Joomla en CPanel zijn kwetsbaar, omdat een in principe schone site geïnfecteerd kan raken.

Een laatste tip: de meeste kans om op een besmette site terecht te komen is met de zoekterm 'doctor', met 'software' als goede tweede.