PRISM e-mail bevat Java-backdoor voor overheden
Overheidsinstanties in verschillende landen zijn het doelwit van een opmerkelijke phishingaanval geworden waarbij de aanvallers alle commotie rondom het PRISM-surveillanceprogramma aangrijpen om computers waar Java op draait met malware te infecteren. In tegenstelling tot andere aanvallen, die een exploit voor Word of Adobe Reader gebruiken, wordt er nu een Java-bestand ingezet.
De e-mail met het onderwerp 'Obama's Data Harvesting Program and PRISM' bevat drie bestanden. Twee onschuldige PDF-documenten en een jar-bestand. Dit jar-bestand is in werkelijkheid een Java-backdoor die op Windows, Mac OS, Linux, FreeBSD, OpenBSD en Solaris werkt. De enige vereiste is wel dat het slachtoffer Java heeft geïnstalleerd, anders kan het bestand niet worden geopend.
Slachtoffers
Via de backdoor hebben de aanvallers volledige toegang tot het systeem. Volgens anti-virusbedrijf Symantec zijn de meeste infecties van de Java-backdoor in de Verenigde Staten aangetroffen, hoewel ook Canadese, Australische en Europese overheidsinstanties door de malware besmet zijn geraakt.
Er zijn wat meer (vermoedelijke) vereisten om dit op de Mac werkend te krijgen en dat geldt misschien deels ook voor andere Os-en:
1) Ge-deactiveerde extensie weergave helpt goed (in Finder voorkeuren extensie weergave dus weer activeren)
2) Files aanklikken (in de hersenpan voorkeuren klikgrage vingers blokkeren)
3) Java activeren (! Java Voorkeuren), utility directory java-voorkeuren voor java 6 en eerder, voor java 7 (Lion / Mountain Lion) in systeem voorkeuren paneel
4) Knoepers van waarschuwings pop-up's negeren (! About file quarantine in OS X , http://support.apple.com/kb/ht3662) , ..
5) Op deze manier ben je al dicht bij de routine van een regulier installatie proces
Risico minimaliseren / voorkomen door o.a. / bijv. :
- Java te deactiveren,
- Java de-installeren
- en andere diverse manieren om de werking van Java creatief te saboteren (voor als je het niet kan de-installeren , java 6 en eerder, Os X Snow Leopard en eerder).
- 'altijd' goed : webplugin de-activeren alsook de automatische uitvoer van applets, maar vermoedelijk niet van toepassing hier want bestand binnengekomen via een mailclient.
& Voor de Mac gebruiker die ook nog eens van (functionele) gekkigheid en experiment houdt, weinigen hier (?),
heb ik nog wel een heel simpele (.jar / .class file ) twip voor als je ook even 'klaar bent met java' (oplossing net bedacht en aan het testen).
Er zijn wat meer (vermoedelijke) vereisten om dit op de Mac werkend te krijgen en dat geldt misschien deels ook voor andere Os-en:
<KNIP>
Niet alleen zijn de java implementaties voor OSX niet persee vatbaar; het zijn immers implementatie bugs, een nog veel groter punt; al zou je op een mac uit de java sandbox breken en code kunnen uitvoeren: Dat moet dan wel mac specifieke code zijn.
Succes mac-boys, negeer lekker de waarschuwing en klik er lekker op los, jullie OS is toch niet vatbaar...
</sarcastic>
Als je daar op klikt verdien je het ook om besmet te worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
