Magische malware blijft jaar lang onzichtbaar
Een onbekende malware-familie heeft bijna een jaar lang duizenden computers weten te infecteren voordat het werd ontdekt. De 'Magic malware', zoals de kwaadaardige code door beveiligingsbedrijf Seculert wordt genoemd, was vooral in Groot-Brittannië actief, gevolgd door Italië en de Verenigde Staten. In plaats van te communiceren via HTTP, werd er via een zelfgemaakt protocol gecommuniceerd.
Bij één infectie zagen de onderzoekers hoe de malware de Command & Control (C&C)-server om instructies vroeg. De C&C-server antwoordde met een opdracht om een nieuwe backdoor-gebruiker toe te voegen, met de gebruikersnaam 'WINDOWS' en het wachtwoord 'MyPas1234'. Daarmee kregen de aanvallers toegang tot de machine of het netwerk.
Onzichtbaar
De Magic malware wist 11 maanden onopgemerkt te blijven en in die tijd 'duizenden verschillende entiteiten' te infecteren, aldus Seculert. Volgens het beveiligingsbedrijf zou de malware nog steeds in ontwikkeling zijn, aangezien er verschillende aanwijzingen van nieuwe features en functies werden ontdekt, die nog niet waren geïmplementeerd of werden gebruikt.
Als de aanvaller een browser op de computer van een slachtoffer wil starten, laat de malware in de Remote Desktopsessie van de aanvaller een melding zien met 'TODO: Start browser!'.
Doel
Wat de aanvallers precies met de malware van plan waren is nog onduidelijk. De Magic malware is in staat om een backdoor te openen, informatie te stelen en HTML in de browser te injecteren.
Seculert denkt dat de malware op dit moment vooral werd ingezet om slachtoffers te bespioneren, maar sluit niet uit dat dit de eerste fase van een veel bredere aanval is.
adduser: Only root may add a user or group to the system.
Gelukkig werkt dit niet bij mij.
Mensen met Backtrack of Kali natuurlijk wel opgepast!
Mensen met Backtrack of Kali natuurlijk wel opgepast!
1. ZWZ degenen die deze distro's gebruiken, zijn geen "buurman met de nieuwe pc" mensen en zien vast wel dat er iets niet in de haak is zodra er een "WINDOWS" gebruiker is aangemaakt.
2. Alhoewel het niet in de artikel expliciet in het artikel is vermeldt, kan je uit de context halen dat het alleen windows pc's infecteert ( het maakt een "WINDOWS" gebruiker aan), dus linux gebruikers zijn buiten schot.
Maargoed; heeft iemand al een kopietje van de malware weten te vinden? Ik wil hem wel hebben. Malware die nog in ontwikkeling is altijd de moeite waard om te analyseren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
