image

Nederlanders doelwit Java-lek via BTW-mail

donderdag 30 augustus 2012, 17:30 door Redactie, 4 reacties

Nederlandse internetgebruikers zijn het doelwit van een gerichte e-mail die computers via het nieuwe Java-lek probeert te besmetten. Het bericht lijkt afkomstig van BDO Accountants & Adviseurs en heeft als onderwerp "Let op! BTW tariefverhoging per 1 oktober 2012", aldus anti-virusbedrijf Sophos. De tekst waarschuwt voor de komende verhoging van het belastingtarief en bevat een link waarbij de ontvanger kan controleren wat de verhoging voor hem inhoudt.

Ook zou de link handige tips bevatten. In werkelijkheid wijst de link naar een geobfusceerd script dat een kwaadaardig Java-applet downloadt dat de computer via het lek in Java 7 probeert te infecteren. De e-mail is niet afkomstig van BDO, maar is verstuurd via hostingprovider Redbee. Volgens Sophos gaat het hier om een gerichte aanval.

Exploit
Het Delftse beveiligingsbedrijf Fox-IT maakte een analyse van de aanvallen die op dit moment plaatsvinden. Via de exploit worden verschillende banking Trojans geïnstalleerd, zoals Hermes, Zeus en Citadel. Deze Trojaanse paarden zijn speciaal ontwikkeld om geld van online bankrekeningen te stelen. Analyse van het gevonden Hermes-exemplaar, alsmede de Command & Control servers waarmee het verbinding maakt, laat volgens analist Michael Sandee zien dat de aanvallers achter deze aanval ook achter de Dorifelbesmetting in Nederland zaten.

Een ander interessante ontdekking is dat de gebruikte exploitcode op 17 augustus is gecompileerd, wat nog voor de ontdekking van de meeste andere bekende exploits is. De exploit verschilt van de door FireEye ontdekte exploit. "Deze tijdslijn is interessant, aangezien het dichter bij de datum is van de aankondiging van de VulnDisco Java zero-day die op 10 augustus werd aangekondigd", merkt de analist op.

Russisch
Het gaat hier om een exploit die aan het exploitprogramma van het Amerikaanse beveiligingsbedrijf Immunity werd toegevoegd. Dit is een commercieel programma waarmee bedrijven de veiligheid van hun systemen kunnen testen. Sandee acht het mogelijk dat de kwetsbaarheid al onder cybercriminelen rondging en sommigen die hebben opgepikt, of dat die uit VulnDisco is gestolen.

Verder blijkt dat de aanvallers verschillende OpenX advertentieservers hackten om de exploit in advertenties te verstoppen. Die kwamen onder andere op de website van Omroep West terecht. "Er was veel meer moeite gedaan om ervoor te zorgen dat de exploit niet door virusscanners werd ontdekt in vergelijking met ander exploits die nu rondgaan." Sandee vermoedt dat de exploit op Russische cybercrimefora eerst werd aangeboden.

Nitro
De exploit die door beveiligingsbedrijf FireEye werd geopenbaard zou ook door de Nitro-groep zijn gebruikt. De Nitro-groep werd bekend vanwege aanvallen op chemische bedrijven. Deze groep zou nu ook achter verschillende aanvallen met de nieuwe Java-exploit zitten.

Symantec stelt dat het waarschijnlijk is dat ook deze groep slachtoffers via e-mail aanvalt, net als bij vorige campagnes. De Nitro-groep zou de Java-exploit sinds 22 augustus gebruiken. Eenmaal succesvol wordt er een backdoor op het systeem gedownload.

Security.nl maakte dit achtergrondartikel over het uitschakelen van Java.

Reacties (4)
30-08-2012, 18:13 door [Account Verwijderd]
[Verwijderd]
30-08-2012, 19:25 door Anoniem
@Rooki

Alles goed met je? Erg waardevolle opmerkingen heb je op deze draad.
31-08-2012, 08:48 door U4iA
Goh, dit is eens een in goed Nederlands geschreven email. Ze gaan vooruit! LOI
01-09-2012, 11:38 door Anoniem
De verspreiding en de kwaliteit van deze mail doen sterk denken aan de recente mails waarbij er wordt geclaimd dat de mail gestuurd wordt door een curator in een failissement en waarbij er nog een vordering op het bedrijf van de ontvanger zou zijn.
Ook hier zitten niet de bekende taalfouten van google translate in, wel een paar d/dt fouten. Nu zitten er ook wat kleine foutjes in maar niks wat je niet zou kunnen verwachten van een hedendaagse medewerker van een Nederlands bedrijf.

Ik denk dat het een flink risico is voor bedrijven met slecht IT beheer, want deze verhalen komen zeer geloofwaardig over en de gemiddelde ontvanger zal gewoon op de link klikken.
Uiteraard kun je met fatsoenlijke systeeminrichting vrij simpel voorkomen dat de PC besmet wordt.

Zorg er voor dat je gebruikers geen administrator rechten hebben op je werkstations. Dat hebben ze niet nodig, echt.
Zorg dat er een proxy of firewall richting internet is die het niet toestaat dat je gebruikers exe bestanden downloaden.
Zorg voor een group policy die het uitvoeren van executable bestanden beperkt tot de directories waar deze geinstalleerd staan, en dus blokkeert voor TEMP directories, netwerkshares waar gebruikers hun documenten neerzetten, e.d.
En uiteraard: gebruik een virusscanner.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.