image

Firefox-gebruikers doelwit stuntelige zero-day-aanval

donderdag 14 februari 2013, 13:52 door Redactie, 0 reacties

De meeste gerichte aanvallen waarbij zero-day-lekken in bepaalde software worden gebruikt zijn goed georganiseerd, maar dat geldt niet voor een recente aanval op Firefox-gebruikers. "Het lijkt erop dat we midden in de ontwikkeling en testfase van het project waren beland", aldus anti-virusbedrijf Sophos, dat bij het onderzoek naar de gebruikte malware was ingeschakeld.

De meeste malware-bestanden bleken geen anti-debugging en anti-anti-virusmaatregelen toe te passen, zoals vaak het geval is. Daarnaast werden allerlei testversies ontdekt en stonden de 'debugpaden', nog in elk onderdeel vermeld. De gebruikte padnamen,classifiedprojects\projectdefense en classified\investigation\nationalsecurity, zijn volgens het anti-virusbedrijf vooral een rookgordijn om verwarring te veroorzaken.

"Wat we ontdekten leek vooral een test-operatie van een criminele bende te zijn, die de laatste creatie uitprobeerde." De malware-exemplaren waren van een geldig digitaal certificaat ondertekend, dat ook bij andere aanvallen was gebruikt waar andere zero-days waren ingezet.

Firefox
De aanval begon met een e-mail met een link, waarop de ontvanger moest klikken. Die link wees naar een in Turkije gehoste website die een Adobe Flash exploit bevatte. De aanval werkte alleen tegen Firefox-gebruikers. Was de aanval succesvol, dan werd er malware geïnstalleerd die met een in Nederland gehoste Command & Control-server verbinding maakte.

De malware verzamelt systeemgegevens, kan screenshots maken en versturen en aanvullende malware downloaden en installeren. De gedownloade malware wordt nooit als bestand op de harde schijf weggeschreven, waardoor het lastiger te detecteren is.

Niet alleen de door de malware-makers gebruikte benaming viel op, ook wordt bepaalde code voor het vinden van bestanden in de temp directory niet gebruikt. "Weer een aanwijzing dat de malware incompleet is."

Onhandig
Daarnaast zit de malware zelf vol met debug-berichten. Sophos concludeert dat het dan ook om een 'work in progress' gaat, die uit een aantal verschillende modules bestaat die nog niet goed samenwerken.

"Het programmeren is onhandig gedaan, maar dit wordt rechtgezet door het feit dat het een geheugen plug-in architectuur en een voorheen onbekende Flash zero-day exploit gebruikt."

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.