image

Malware steelt WiFi-naam en signaalsterkte

vrijdag 30 november 2012, 10:43 door Redactie, 3 reacties

Een Trojaans paard dat Mac- en Windows-computers infecteert probeert de locatie van slachtoffers te bepalen door hun WiFi-naam en de signaalsterkte van het netwerk te stelen. 'Crisis', zoals de malware wordt genoemd, werd voor het eerst in juli ontdekt en verspreidt zich via Java-applets. Mogelijk waren journalisten het doelwit van de malware, die ook Skype-gesprekken afluistert. Crisis blijkt echter veel meer te stelen, aldus analyse van Symantec.

Spionage
De virusbestrijder stelt dat de malware geen beveiligingslekken in Java gebruikt om systemen te infecteren, maar als Java-applet inclusief digitale handtekening wordt aangeboden. Zodra de gebruiker het Java-applet accepteert en installeert, wordt de malware actief. Die steelt vervolgens het adresboek, informatie uit de browser, luistert gesprekken via instant messaging programma's af, maakt screenshots en opnames via de webcam en microfoon.

Opmerkelijk is ook dat Crisis het Service set identification (SSID), de netwerknaam, van het WiFi-netwerk steelt, alsmede de Received signal strength indication (RSSI), wat de signaalsterkte aangeeft. De malware noemt deze functie 'position', en wordt mogelijk gebruikt om de locatie van de besmette computer te bepalen, aldus Symantec.

Virtual Machine
Crisis viel eerst ook al op doordat het Virtual Machines en Windows Mobile-toestellen kan infecteren. Met name dat eerste is een probleem. "Het gebruik van VM-technologie groeit elke dag, en de eigenschappen van Crisis hebben dan ook verregaande gevolgen voor de gehele beveiligingsindustrie", aldus Symantec.

Overheid
De grote vraag blijft wie Crisis ontwikkelde. Andere onderzoekers dachten dat een groep Italiaanse programmeurs verantwoordelijk is. Die zouden het programma hebben gebouwd om aan overheidsorganisaties te verkopen. Ook Symantec sluit niet uit dat het hier om staatsspyware gaat, aangezien de voornaamste functie van de malware het bespioneren van slachtoffers is.

Reacties (3)
01-12-2012, 21:36 door Anoniem
En hoe kan je zien of je netwerk slachtoffer is?
03-12-2012, 13:28 door AdVratPatat
Door Redactie: ...
Opmerkelijk is ook dat Crisis het Service set identification (SSID), de netwerknaam, van het WiFi-netwerk steelt, alsmede de Received signal strength indication (RSSI), wat de signaalsterkte aangeeft. De malware noemt deze functie 'position', en wordt mogelijk gebruikt om de locatie van de besmette computer te bepalen, aldus Symantec.
De aanvulling "om de locatie van de besmette computer te bepalen ... binnen het WiFi netwerk lijkt me op z'n plaats. Geo-locatie gebeurt op basis van IP.


Verder, white-hat overheids-spyware als .jar en die zichzelf na infectie per definitie probeert te verspreiden via autorun.inf?
Apart...

(EDIT: typo.)
03-12-2012, 13:35 door AdVratPatat
Door Anoniem: En hoe kan je zien of je netwerk slachtoffer is?
Met een AV... Dit is geen nieuwe malware, maar ontdekt in juli. Deze malware werkt overigens alleen als JRE (Java Runtime, dus niet Java Script) op het betreffende systeem staat, welke versie weet ik niet, JRE is per definitie not-done voor mij.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.