Overheid waarschuwt voor infectie op NU.nl
De Waarschuwingsdienst waarschuwt internetgebruikers die gisteren NU.nl bezochten dat hun computer mogelijk geïnfecteerd is. Aanvallers wisten malware op de website te verstoppen die in staat is om geld van bankrekeningen te halen. "Als je computer besmet is met Sinowal kunnen kwaadwillenden gevoelige informatie zoals je inloggegevens voor een banksite of creditcardgegevens onderscheppen", aldus de Waarschuwingsdienst, die onderdeel van het Nationaal Cyber Security Center van de overheid.
De malware werd geplaatst op de computers van bezoekers die verouderde software gebruikten. De dienst kan nog niet zeggen om welke programma's het gaat, maar uit deze analyse zou blijken dat het in ieder geval Adobe Reader en Java betrof.
Infectie
"Waarschuwingsdienst.nl onderzoekt op dit moment nog de exacte kwetsbaarheden die zijn misbruikt. Mogelijk beschikken we op een later tijdstip over meer informatie over deze kwetsbaarheden."
Verder onderzoekt de overheidsinstantie op dit moment de malware. "Zodra wij meer informatie hebben over de manier waarop je je pc kunt schonen, publiceren wij dit via deze alert. Als je gisteren NU.nl hebt bezocht, raden we je dan ook aan de berichtgeving hierover in de gaten te houden."
"
Ik negeer de waarschuwing en upload het bestand naar VirusTotal. Maar 2 van de 43 virusscanners detecteren via VirusTotal de malware, namelijk:
AVG: Script/Exploit.B
Microsoft: Exploit:JS/Blacole.CV
Opmerkelijk is dat AVG en Microsoft Security Essentials allebei gratis virusscanners zijn. De commerciële scanners laten het bij VirusTotal qua resultaten afweten.
"
Let op: dit gaat alleen over het stukje javascript wat de malware ophaalt. De malware executable zelf wordt door veel meer scanners herkend.
Helaas heb ik de via nu.nl aangeboden malware niet te pakken kunnen krijgen. Een soortgelijke java exploit, gevonden via http://www3.malekal.com/malwares/ en gisteravond door mij gedownload vanaf ingeborga.in/content/Qai.jar (gehost in NL, IP=37.58.64.197), md5=99098555be22838331907c1ebe3213f7, leverde 0/43 op bij virustotal: https://www.virustotal.com/file/4cd4d5dadd9c7b5fcf3d3728a968403067e2be7200b854619a04690a87433ea7/analysis/.
In deze qai.jar (feitelijk een zip-file) zitten 6 subclasses die mogelijk elk een andere exploit bevatten. Elk van die exploits zal proberen code op te halen door virusscanners gedetecteerd zou kunnen worden maar gezien de "ondetecteerbaarheid" van de exploits hebben de aanvallers hun huiswerk ook heus wel gedaan bij de nageladen malware.
Helaas heb ik de via nu.nl aangeboden malware niet te pakken kunnen krijgen. Een soortgelijke java exploit, gevonden via http://www3.malekal.com/malwares/ en gisteravond door mij gedownload vanaf ingeborga.in/content/Qai.jar (gehost in NL, IP=37.58.64.197), md5=99098555be22838331907c1ebe3213f7, leverde 0/43 op bij virustotal: https://www.virustotal.com/file/4cd4d5dadd9c7b5fcf3d3728a968403067e2be7200b854619a04690a87433ea7/analysis/.
In deze qai.jar (feitelijk een zip-file) zitten 6 subclasses die mogelijk elk een andere exploit bevatten. Elk van die exploits zal proberen code op te halen door virusscanners gedetecteerd zou kunnen worden maar gezien de "ondetecteerbaarheid" van de exploits hebben de aanvallers hun huiswerk ook heus wel gedaan bij de nageladen malware.
De comments op tweakers: http://tweakers.net/nieuws/80668/nu-punt-nl-serveerde-kortstondig-malware.html en communicatie met het ESET viruslab.
Als niet alles meteen wordt gedetecteerd en de rootkit wel wordt geïnstalleerd, denk je wellicht dat je safe bent omdat je virusscanner alarm sloeg.
Je belangrijkste wapen tegen deze troep is patchen en niet meer plugins enablen dan strikt noodzakelijk. Ik haat bijv. PDF inline lezen in m'n browser. Geef mij maar de vraag of ik wil downloaden of direct in een PDF lezer wil openen. Krijg ik zo onverwacht een PDF popup, dan weet ik meteen dat er wat mis is.
In Internet Explorer vanaf versie 8 kun je heel redelijk per site toestaan welke plugins er mogen draaien. Indien gewenst wil ik dat nog wel een keer uitleggen.
Ik heb dat een aantal jaren meegemaakt. Virusscanner slaat alarm voor een keylogger. Ik ga de boel analyseren en dan blijkt hij al 4 maanden op mijn machine te hebben gestaan voor de scanner hem kon vinden. Ik had gelukkig een firewall die ook uitgaande verbindingen (per proces) kon blokkeren. De keylogger had geen rechten om de gegevens naar buiten te sturen en dat is ook niet gedaan (ik heb daarna nooit gemerkt dat accounts misbruikt zijn).
Ik vond tijdens het onderzoek ook nog een backdoor. Die heb ik ook verwijderd, ondanks dat de scanner die niet vond. De volgende dag kreeg ik weer een melding van de scanner. Nu had hij de backdoor ook gevonden en wel in de "deleted" folder, waar ik hem even had bewaard voor andere controle.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
