Nieuws
image

Valse KLPD e-mail besmet computer via Java-lek

maandag 16 juli 2012, 15:49 door Redactie, 11 reacties

Er gaat op dit moment een e-mail rond die van de KLPD afkomstig zou zijn, maar in werkelijkheid probeert om computers via een Java-lek te infecteren. De e-mail heeft als onderwerp "Politiebericht! Uw bedrijf is mogelijk aangevallen door internet criminelen" en zou door het Korps Landelijke Politiediensten zijn verstuurd. Volgens het bericht is het bedrijf van de ontvanger mogelijk ook slachtoffer geworden van internetcriminaliteit.

Verspreiden
De ontvanger kan vervolgens via een "controle-systeem" controleren of hij ook slachtoffer is geworden. Verder verzoeken de aanvallers om de e-mail binnen het bedrijf te verspreiden. "En middels de bijgevoegde link te controleren of er systemen binnen uw bedrijf besmet zijn met een virus."

De link wijst naar de website hemrah.com waarop een nagemaakte KLPD-site draait. Op de website is een Java-exploit verstopt. Na een afbeelding van een zogenaamde controle meldt de website dat het systeem niet is besmet.

Reacties (11)
16-07-2012, 15:58 door meinonA
... Java-lek ... ;)
16-07-2012, 16:04 door Anoniem
Leuk die waarschuwing bij die link, maar waarom wordt deze sowieso gepost? De waarschuwing in de tekst over het hemrah domain zou al voldoende waarschuwing moeten zijn. Nu worden alleen maar onnodig mensen bloodgesteld aan rotzooi.

[admin] De link is als afbeelding toegevoegd [/admin]
16-07-2012, 16:47 door yobi
Goede zaak mensen te waarschuwen. Heeft er al iemand aangifte gedaan?

Indien Java niet noodzakelijk is, wordt het aanbevolen om het te verwijderen. Misschien kan de hosting-provider de site alvast verwijderen.
16-07-2012, 17:16 door Anoniem
Door Anoniem: Leuk die waarschuwing bij die link, maar waarom wordt deze sowieso gepost? De waarschuwing in de tekst over het hemrah domain zou al voldoende waarschuwing moeten zijn. Nu worden alleen maar onnodig mensen bloodgesteld aan rotzooi.

[admin] De link is als afbeelding toegevoegd [/admin]


Mogelijk zijn er ook mensen geïnteresseerd on een analyse te doen.
16-07-2012, 17:53 door Anoniem
"internet criminelen". Dan weet je al genoeg, al stond de onterechte spatie er niet in.
16-07-2012, 18:19 door [Account Verwijderd]
[Verwijderd]
16-07-2012, 18:52 door regenpijp
Door Anoniem:
Door Anoniem: Leuk die waarschuwing bij die link, maar waarom wordt deze sowieso gepost? De waarschuwing in de tekst over het hemrah domain zou al voldoende waarschuwing moeten zijn. Nu worden alleen maar onnodig mensen bloodgesteld aan rotzooi.

[admin] De link is als afbeelding toegevoegd [/admin]
Mogelijk zijn er ook mensen geïnteresseerd on een analyse te doen.

Oke, dan een kleine analyse:

Deze email lijkt puur gericht tegen Nederlandse bedrijven en organisaties, op de website is een lijst van ruim 186k bedrijven en emailadressen te vinden: http://hemrah.com/file/css/bedr.csv

Op de bewuste pagina wordt een javascript bestand aangesproken: ga.js
Welke wat checks lijkt uit te voeren om welke browser het gaat om vervolgens j3.html aan te roepen, welke de uiteindelijke exploit j3.jar aanspreekt.
Hierin zitten sowiezo de volgende classes:

j2/a/Payl.class: https://www.virustotal.com/file/7d0fb16da2776f77553db1a649774a692e47fabe32f04eebdc71d97bca2043e8/analysis/1342456502/

j2/a/Payl$StreamConnector.class: https://www.virustotal.com/file/de2b2387a2c474c56bc9ebc7c95ba8a26a3996763b4ccfea14fd5a8505b4f281/analysis/1342456465/

j3/Attacker.class: https://www.virustotal.com/file/951ff54001e9e148146ccb55194c07d84a2730cd6c940895b68baaa5124f4186/analysis/

j3/ConfusingClassLoader.class: https://www.virustotal.com/file/06e6d1a58711eb31e08d82a261b9e8a392dce81a09287e7706a53d9fcb77d77c/analysis/1342456621/

j3/Confuser.class: kwam niet door avira heen, is van soort: EXP/JAVA.Ivinest.GEN, lijkt een kersverse exploit die nog maar 2 dagen in avira zit en is volgens avira nog niet echt veel in het wild gezien, in 2 dagen 1000x detectie, dat is niet veel voor een java exploit als je het mij vraagt: https://www.avira.com/en/support-threats-summary/tid/7584/threat/EXP%252FJAVA.Ivinest.Gen, https://www.virustotal.com/file/070ac97052aa1fc5f5bb60fbc5806b12af0674de3e578211e9192b0f34c7f359/analysis/, deze link is overigens van een andere dingen afkomstig

Er worden dus 3 exploits uit de blackhole toolkit uitgeprobeerd, de detectie is zeer gering te noemen, alleen j3/Confuser.class wordt matig gedetecteerd, maar bijvoorbeeld ook niet door bitdefender en symantec


Het gaat sowieso om exploits voor CVE-2012-0507 en 2 varianten van CVE-2012-1723
Het trojaanse paard heet br.jpg en wordt maar door 7 virusscanners herkend: https://www.virustotal.com/file/513b634be03f36c32f58ed44a5e4dae448a3d2af8bbca1695986ecd7117fecad/analysis/1342447423/

update:
CVE-2012-0507 gaat al wat langer mee, iedere versie van java t/m 6.30 en 7.2 is kwetsbaar: http://cvedetails.com/cve-details.php?t=1&cve_id=CVE-2012-0507
CVE-2012-1723 is kersvers, iedere versie van java t/m 6.34 en 7.4 is kwetsbaar: http://cvedetails.com/cve-details.php?t=1&cve_id=CVE-2012-1723
17-07-2012, 00:45 door Anoniem
Dit KLPD-virus heb ik ook als particulier ontvangen.
Om te verwijderen heb ik de pc uitgezet en weer opgestart in de veilige modus.
Vanuit deze veilige modus een systeemherstel uitgevoerd. Dat was voldoende.
Om mezelf gerust te stellen, heb ik m'n pc laten controleren door iemand met meer verstand van zaken
en het bleek dat het virus verdwenen was en geen sporen had achter gelaten.
17-07-2012, 09:01 door Anoniem
regenpijp: bedankt voor je uitgebreide analyse. Kon je nuttige werk gedeeltelijk hergebruiken.
Kleine correctie: java 6.34 is nog niet uit. Het is t/m 6.32. 1.6.0_33 bevat een fix voor CVE-2012-1723
17-07-2012, 23:48 door Anoniem
Regenpijp: helder duidelijk verhaal, dank je! Mooi om jouw speurwerk te 'volgen' en daardoor meer te gaan begrijpen...
18-07-2012, 10:57 door Macamba
Nette analyse regenpijp!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure