Amsterdam, 1 september 2021 - Het online streamen van sportevenementen is sinds de Olympische Spelen van 2016 in Rio enorm toegenomen. De Olympische Spelen zijn populair en trekken miljarden kijkers van over de hele wereld - en door COVID-19 werden de recente Olympische Zomerspelen meer gestreamd dan ooit tevoren. Het
Zscaler ThreatLabz-team heeft tijdens dit evenement een aantal interessante bevindingen gedaan, en met andere grote evenementen zoals de F1 in Zandvoort en het WK in 2022 in het vooruitzicht, is het essentieel dat we hiervan leren.
De meeste streaming-transacties die door het ThreatLabz-team zijn waargenomen, waren afkomstig uit de Verenigde Staten en Europa, waarbij Duitsland en Frankrijk voorop liepen in transacties. In Azië staan India en Japan hoog op de lijst. Het belang en de populariteit van sportevenementen maken het een interessant doelwit voor cyberaanvallen, waarbij threat actors
kwaadaardige software installeren: van ransomware tot coin miners.
Streaming-transactie per land (top 15)
Tijdens de Olympische Zomerspelen 2020 in Tokio werden neppe streamingsites ontdekt die probeerden om gebruikers op te lichten en adware-activiteit die gebruikers aanspoorde om irrelevante browserextensies te installeren, zoals YourStreamSearch, een bekende browserkaper. Daarnaast is er activiteit gezien van OlympicDestroyer, een malware die credential-stealers op de getargete machine dropt.
Verdachte streamingsites die om betalingen vragen
ThreatLabz observeerde tijdens de Olympische Zomerspelen meerdere verdachte streamingdiensten. Deze streamingsites zijn niet gekoppeld aan legitieme Olympische streaming-providers. In plaats daarvan claimen de websites gratis toegang te bieden en vragen vervolgens betalingsgegevens van klanten. De sites hergebruiken vaak een sjabloon dat al eerder werd gespot bij andere actuele evenementen, waaronder NBA- en voetbalevenementen. De kans dat dit sjabloon zal worden gebruikt rondom de F1 en in aanloop naar het WK is dan ook groot.
In het onderstaande screenshot zien we een nep-streamingsite die beweert gratis onbeperkte toegang te bieden. Zodra de gebruiker de registratie heeft voltooid, wordt hij echter doorgestuurd naar het betalingsportaal, waar zijn gegevens worden opgevraagd.
Neppe streamingsite
Adware-activiteit:
Daarnaast is er adware met een Olympisch thema geconstateerd die beweert gratis streamingdiensten aan te bieden, maar gebruikers in plaats daarvan omleidt naar niet-gerelateerde websites voor weddenschappen, autohandel, enzovoort. Er zijn ook gevallen gezien waarin gebruikers worden omgeleid om adware te installeren in de vorm van browserextensies of valse software-updaters. In het onderstaande geval kunnen we zien dat olympicstreams[.]me gebruikers omleidt om de YourStreamSearch-browserextensie te installeren. YourStreamSearch is een bekende browserkaper die advertenties aanbeveelt op basis van zoekgeschiedenis.
Website die een stream van Olympische Spelen 2020 aanbiedt
OlympicDestroyer
OlympicDestroyer is een geavanceerde malware die voor het eerst werd waargenomen tijdens de Olympische Winterspelen van 2018 in Zuid-Korea. De malware heeft de officiële website van de Olympische Spelen gecompromitteerd en dit had gevolgen voor de kaartverkoop. In de kern is OlympicDestroyer een worm die zich verspreidt met behulp van Windows-netwerkshares. De malware dropt vervolgens meerdere bestanden op de getargete machine. Deze bestanden zijn embedded als bronnen en versluierd. De bestanden proberen browser- en systeemreferenties te stelen.
Hits voor OlympicDestroyer
De volgende richtlijnen worden voorgesteld om te bescherming te bieden tegen deze aanvallen tijdens toekomstige grote sportevenementen, zoals de F1 in Zandvoort en het WK in 2022:
- Update VPN's, netwerkinfrastructuur-apparaten en apparaten die worden gebruikt voor externe werkomgevingen;
- Schakel indien mogelijk multifactor authenticatie in op alle VPN-verbindingen;
- Verifieer de bron van e-mails met 'te mooi om waar te zijn'-deals. Wees op uw hoede voor verdachte bijlagen;
- Vermijd onofficiële stores voor mobiele apps;
- Controleer de authenticiteit van de URL of het website-adres voordat u op een link klikt;
- Blijf uit de buurt van facturen per e-mail - dit is vaak een social engineering-techniek die door cybercriminelen wordt gebruikt;
- Gebruik waar mogelijk multifactor authenticatie, vooral op gevoelige rekeningen zoals die voor bankieren;
- Zorg er altijd voor dat uw besturingssysteem en browser de nieuwste beveiligingspatches hebben geïnstalleerd;
- Maak een back-up van uw documenten en mediabestanden - dit is uiterst belangrijk bij ransomware-infecties.
Over Zscaler
Zscaler (NASDAQ: ZS) versnelt digitale transformatie en maakt klanten meer agile, efficiënt, veerkrachtig en veilig. De Zscaler Zero Trust Exchange beschermt duizenden klanten van cyberaanvallen en dataverlies door gebruikers, apparaten en applicaties veilig met elkaar te verbinden vanaf elke locatie. Verveeld over meer dan 150 datacenters wereldwijd is de op SASE-gebaseerde Zero Trust Exchange het grootste inline cloud security-platform ter wereld.
Voor meer informatie
Zscaler
Berend Sikkema
E-mail:
bsikkema@zscaler.com
Whizpr
Martine Korthals / Winnie Silvertand
Telefoon: 0317 410 483
E-mail:
zscaler@whizpr.nl