Windows-rootkit verbergt zich dankzij open source
Een beruchte Windows-rootkit die al sinds 2008 actief is heeft een nieuwe methode om zich op besmette computers te verbergen, namelijk het gebruik van opensourcesoftware. Nu komt het vaker voor dat malware legitieme software gebruikt, in het geval van de Tidserv malware (ook bekend als TDL) gaat het om het Chromium Embedded Framework (CEF).
Zonder het downloaden van dit 50MB grote raamwerk kan de malware niet correct functioneren. Volgens Kevin Savage van Symantec is dit zeer bijzonder voor malware.
Chromium Embedded Framework
CEF is een uitbreiding voor het Chromium project van Google. Het biedt ontwikkelaars een eenvoudige manier om een op HTML5 gebaseerde grafische gebruikersinterface in een desktopapplicatie te implementeren of browsereigenschappen aan een applicatie toe te voegen.
De Tidserv malware gebruikt een modulair framework om nieuwe modules te downloaden en die in schone processen te injecteren. Voorgaande versies gebruikten hiervoor een bepaalde module die netwerkactiviteiten zoals het klikken op links en tonen van advertentie pop-ups voor zijn rekening nam.
Module
Symantec ontdekte onlangs een nieuwe variant die een nieuwe module gebruikt. Deze module vereist het bestand cef.dll, wat onderdeel van CEF is. Om dit bestand te verkrijgen downloadt de malware het gehele Chromium Embedded Framework van 50MB op de besmette computer. Het aantal downloads van CEF is de afgelopen dagen flink gestegen.
Hoeveel downloads met de malware te maken hebben is onduidelijk, maar als de toename wel door Tidserv is veroorzaakt, gaat het om aardig wat besmette computers. Door het gebruik van CEF kan Tidserv veel van de basale browsereigenschappen uit de eigen modules verwijderen, waardoor die kleiner worden en eenvoudiger zijn te updaten met nieuwe functionaliteit.
Reactie
De ontwikkelaars zijn inmiddels van de malware-activiteiten op de hoogte en zeggen het gebruik van CEF voor illegale doeleinden niet goed te keuren.
Daarnaast zullen er maatregelen worden getroffen om het misbruik tegen te gaan. Eén van die maatregelen is al genomen, de ontwikkelaars hebben namelijk het bestand uit het framework verwijderd waar de malware op zoek naar is.
Java heeft ook een deels opensource en deels closesource licentie en wordt veelvuldig gebruikt voor aan vallen.
En beetje misleidende titel die ook nog eens nergens op slaat. Op zich wel apart dat een rootkit een library download om actief te kunnen worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
