image

Malware verspreid via wifi-netwerken van hotels

maandag 10 november 2014, 11:33 door Redactie, 3 reacties
Laatst bijgewerkt: 11-11-2014, 09:32

Onderzoekers hebben een campagne ontdekt waarbij malware werd verspreid via de wifi-netwerken van hotels. De aanvallers hadden het daarbij op speciale hotelgasten voorzien. Op de portaalpagina van het hotel om verbinding met het wifi-netwerk te maken hadden de aanvallers een iframe verborgen. Dit iframe toonde een pop-up die zich voordeed als update voor populaire software, zoals Adobe Flash Player, Google Toolbar en Windows Messenger. In werkelijkheid ging het hier om malware.

Volgens onderzoekers van anti-virusbedrijf Kaspersky Lab (PDF) is het meest interessante aan deze aanvalsmethode dat er alleen specifieke hotelgasten werden aangevallen. Bij de hotels in kwestie moesten gasten met hun achternaam en kamernummer inloggen. Alleen een select aantal gasten kreeg de malware echter voorgeschoteld. Dat lijkt erop dat de reserveringsinformatie door de aanvallers is gebruikt, maar hard bewijs hiervoor ontbreekt. Zodra de aanval was uitgevoerd werden alle sporen gewist. De virusbestrijder laat weten dat alle getroffen hotelportals op dit moment worden gecontroleerd, opgeschoond en extra zullen worden beveiligd.

Torrent

Een andere manier waarop de aanvallers hun malware hebben verspreid is via torrent-bestanden. Daarbij werd er op verschillende Japanse P2P-sites een 900MB groot bestand geplaatst. Dit bestand deed zich onder andere voor als seksueel getint materiaal, maar bevatte een Trojaans paard. De derde verspreidingsmethode die de aanvallers hanteerden was spear phishing. Hierbij werden op maat gemaakte e-mails met kwaadaardige bijlagen en links verspreid, die van zero day-lekken in Adobe Flash Player en Internet Explorer gebruik maakten om doelwitten met malware te infecteren.

Zodra de malware op de computer actief was werden er allerlei inloggegevens en wachtwoorden uit de browser gestolen. Daarbij ondersteunde de malware Internet Explorer, Firefox en Chrome. Daarnaast verspreidde de malware ook ander malware die computers weer via USB-sticks en gedeelde netwerkmappen kon infecteren.

Certificaat

Wat ook aan de malware opvalt is dat de aanvallers hun malware met gestolen certificaten en frauduleus gegenereerde certificaten van de Maleisische certificaatautoriteit Digicert signeerden. Dit was mogelijk omdat Digicert zwakke SSL-certificaten uitgaf. Na de ontdekking van deze werkwijze werd het bedrijf in 2011 door zowel Mozilla, Apple als Microsoft uit de browser verbannen. De meeste slachtoffers van de aanvalscampagne, die al sinds 2007 actief is, bevinden zich in Japan, Taiwan, China, Rusland, Zuid-Korea en Hong Kong.

Reacties (3)
10-11-2014, 13:46 door Mysterio
Dan ga je toch nat met je zakelijke 'bijna up-to-date' laptop. Interessant is dan weer tot in hoeverre een overheid achter zo'n actie kan zitten. Gezien het aantal diplomaten wat regelmatig in een hotel zit kan dit een interessant middel zijn om wat nader iemand te onderzoeken.
10-11-2014, 19:27 door Anoniem
Typo
Wat ook aan de malware opvalt is dat de aanvallers hun malware met gestolen certificaten en frauduleus gegenereerde certificaten van de Maleisische certificaatautoriteit DigiCert signeerden. Dit was mogelijk omdat DigiCert zwakke SSL-certificaten uitgaf. Na de ontdekking van deze werkwijze werd het bedrijf in 2011 door zowel Mozilla, Apple als Microsoft uit de browser verbannen.

Uit, "Update: Mozilla, Microsoft withdraw trust in Digicert certificates"
Digicert in Malaysia does not have any relationship with DigiCert, a CA based in Utah.
(via google cache, originele website laadt niet)
https://webcache.googleusercontent.com/search?q=cache:sQunLtTVN60J:http://www.infoworld.com/article/2621289/authentication/update--mozilla--microsoft-withdraw-trust-in-digicert-certificates.html%2Bupdate+mozilla+microsoft+withdraw+trust+in+digicert+certificates

Digicert en geen DigiCert.

DigiCert certificaten nog aanwezig op 'de Apple'.
11-11-2014, 09:26 door Anoniem
@ anoniem 19:27, Microsoft en Mozilla hebben het over DigiCert

This post is to notify customers that Microsoft will revoke trust in an Intermediate Certificate Authority, DigiCert Sdn. Bhd.
http://blogs.technet.com/b/msrc/archive/2011/11/03/untrusted-certificate-store-to-be-updated.aspx

Revoking Trust in DigiCert Sdn. Bhd Intermediate Certificate Authority
https://blog.mozilla.org/security/2011/11/03/revoking-trust-in-digicert-sdn-bhd-intermediate-certificate-authority/

Verwarrend!!!!!!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.