Nieuws
image

Chrome-gebruikers doelwit Blackhole exploit-kit

maandag 3 december 2012, 09:30 door Redactie, 6 reacties

Gebruikers van Google Chrome werden lange tijd door exploit-kits genegeerd, maar de nieuwste versie van de Blackhole exploit-kit probeert ook gebruikers van Google's browser te besmetten. Een exploit-kit is een programma dat beveiligingslekken in verschillende programma's en plug-ins misbruikt. Aanvallers plaatsen op gehackte of kwaadaardige websites een linkje naar de exploit-kit. Die wordt automatisch geladen zodra bezoekers de pagina bezoeken.

Als er verouderde software op de computer van de bezoeker draait, wordt die automatisch en zonder enige interactie met malware geïnfecteerd. Blackhole is een zeer populaire exploit-kit. Het programma richt zich voornamelijk op beveiligingslekken in Adobe Flash Player, Java en Adobe Reader.

Chrome beschikt over een effectieve automatische updatefunctie, waardoor beveiligingslekken snel gepatcht worden, wat het minder interessant maakt om Chrome-exploits aan een exploit-kit toe te voegen.

Social engineering
Een specifieke exploit voor Google Chrome zou dan ook niet zoveel effect sorteren als een exploit voor bijvoorbeeld Java of Flash Player. Chrome beschikt echter over een ingebouwde Flash Player en PDF-lezer. Om ook Chrome-gebruikers te infecteren past de Blackhole exploit-kit daarom social engineering toe.

Beveiligingsbedrijf Barracuda Networks ontdekt een aanval via de Blackhole exploit-kit die IE-gebruikers met een verouderde Adobe Reader-versie via een PDF-exploit probeert te infecteren. Aangezien Chrome een eigen PDF-lezer gebruikt, zijn deze gebruikers niet kwetsbaar. In dit geval krijgen Chrome-gebruikers een pagina te zien die zich als Google Chrome Update pagina voordoet.

In werkelijkheid is de update een variant van de Zeus banking Trojan. Malware die speciaal ontwikkeld is om geld van online bankrekeningen te stelen.

Reacties (6)
03-12-2012, 10:13 door [Account Verwijderd]
[Verwijderd]
03-12-2012, 12:00 door AdVratPatat
Bedankt voor het opzoeken, maar dat IP is niet (meer) toegewezen Peter, je kunt het dus weer de-blokkeren.
Na wat onderzoek is de (gehackte?) Chinese website die gehost werd op dat IP (kuaiyilicai.com) verschoven van het Amerikaanse IPv4 naar een Japans IPv4 (106.187.102.198) -adres maar verspreid inmiddels geen malware meer.
Overigens veranderen EK-IP's sneller dan het weer over het algemeen, blokkeren is dus helaas geen structurele oplossing in dit geval.


Deze "exploit" (het is een reguliere trojan, inclusief het handmatig moeten installeren, geen 1-click-exploit dus) voor Chrome berust in zijn geheel op social engineering, NOOIT update's buiten "Instellingen" -> "Over Google Chrome" binnenhalen en je blijft (tot op heden) buiten schot, buiten het feit om dat Chrome automatisch zichzelf update, ongeacht de account-rechten.

(EDIT: typo)
03-12-2012, 13:41 door [Account Verwijderd]
[Verwijderd]
03-12-2012, 14:40 door Anoniem
@AdVratPatat: Iron gebruiken ipv Chrome dus, omdat Iron niet automatisch update?
03-12-2012, 16:39 door AdVratPatat
Door Peter V: OK, bedankt Ad. Super weer.

Deze "exploit" (het is een reguliere trojan, inclusief het handmatig moeten installeren, geen 1-click-exploit dus) voor Chrome berust in zijn geheel op social engineering, NOOIT update's buiten "Instellingen" -> "Over Google Chrome" binnenhalen en je blijft (tot op heden) buiten schot, buiten het feit om dat Chrome automatisch zichzelf update, ongeacht de account-rechten.
Klopt helemaal. IPv4-adres was toch een extra laag. En dat ze de boel snel wijzigen is mij bekend. Soms heb je niets beters. Maar nu deze niet meer actief wordt gebruikt hiervoor kan ik de blokkade opheffen.

Graag gedaan, ik ben over het algemeen net zo van de HIPS / HOST als jij, zo heb ik nog steeds het hele Go Daddy netwerk geblokkeerd bijvoorbeeld, wat iets meer uitzoek-werk was dan gedacht trouwens. (http://www.security.nl/artikel/44054/1/Gehackte_Go_Daddy-sites_verspreiden_ransomware.html)

Maar om dan nog even door te gaan op het onderwerp, de gehackte websites in kwestie worden nooit zelf voorzien van de EK, maar altijd (voor zover ik weet dan) van een iFrame dat dus naar een ander IP leidt.
In vrijwel alle gevallen is dit malafide, EK-verspreidend IP gehost in China, Japan en Oost-Europese landen, maar in ieder geval NOOIT in de regio waarop de infectie richt.
Aangezien er geen valide websites zijn die daar gehost worden zijn wij (IT en directie) bezig met een indexering van de mogelijke gevolgen van een blokkade van de gehele betreffende IP-range.
Het einddoel zou hierbij zijn om zelfs een gehackte nu.nl / nrc.nl / etc.nl te kunnen bezoeken zonder dat de EK een kans krijgt. Een probleem hierbij is wel dat veel advertentie-netwerken opereren als proxy voor hun klanten, waarbij het EK-bevattende IP dus nog gewoon (indirect) bereikt kan worden.

Ik hou je op de hoogte.
03-12-2012, 17:50 door AdVratPatat
Door Anoniem: @AdVratPatat: Iron gebruiken ipv Chrome dus, omdat Iron niet automatisch update?
Die snap ik niet? Ik zeg dat je met Chrome nooit handmatig update's moet installeren, hooguit vanuit de browser zelf.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure