Onderzoekers hebben besmette advertenties ontdekt die een combinatie van ransomware en een wachtwoordsteler verspreiden. De advertenties zijn aangetroffen op torrent- en videostreamingsites en maken misbruik van bekende kwetsbaarheden in Internet Explorer en Adobe Flash Player. Gebruikers die hun software up-to-date houden lopen dan ook geen risico.

In het geval internetgebruikers met ongepatchte versies van IE of Flash Player browsen en de advertenties te zien krijgen wordt eerst de wachtwoordsteler geïnstalleerd. Deze malware, die Vidar wordt genoemd, steelt naast wachtwoorden ook cookies, browsegeschiedenis, chatberichten, bestanden, creditcardgegevens en inloggegevens voor cryptowallets. Ongeveer een minuut na de infectie met de wachtwoordsteler wordt er een versie van de GandCrab-ransomware geïnstalleerd, die bestanden versleutelt en een bedrag eist voor het ontsleutelen.

Volgens onderzoeker Jerome Segura van anti-malwarebedrijf Malwarebytes worden slachtoffers op deze manier dubbel getroffen. Niet alleen worden hun financiële en persoonlijke gegevens gestolen, ook worden ze afgeperst om de versleutelde data terug te krijgen. Internetgebruikers krijgen dan ook het advies om hun software up-to-date te houden.