image

JavaScript-bijlage verspreidt Cryptowall-ransomware

dinsdag 21 april 2015, 10:41 door Redactie, 3 reacties

Bij veel e-mailaanvallen worden executables en Officedocumenten gebruikt, maar er zijn ook spammers die JavaScript-bijlagen inzetten. Daarvoor waarschuwt Trustwave. Het beveiligingsbedrijf ontdekte onlangs een spamcampagne waarbij e-mails werden verstuurd die zogenaamd een C.V. leken te bevatten.

Als bijlage was er een zipbestand meegestuurd met daarin een JavaScriptbestand, eindigend op .js. Zodra de ontvanger het bestand opende probeerde het script een executable te downloaden, dat een variant van de Cryptowall-ransomware bleek te zijn. Deze ransomware versleutelt allerlei bestanden op de computer en vraagt vervolgens honderden euro's voor het ontsleutelen ervan.

Bij een andere spamcampagne ontdekte Trustwave een phishingaanval die ook van JavaScript gebruikmaakte. In dit geval werd er een HTML-bestand met JavaScript verstuurd waarin ontvangers hun accountgegevens moesten invoeren. "Als een e-mail je vertelt om JavaScript in te schakelen moet je dat eigenlijk niet doen", zegt analist Brian Bebeau. "Ondanks het gebruik van uitvoerbare bestanden en andere exploits kun je JavaScript-bijlagen in je e-mailverkeer niet negeren. Ze kunnen zowel bij je gebruikers als jezelf voor problemen zorgen."

Reacties (3)
21-04-2015, 13:09 door Anoniem
"Als een e-mail je vertelt om JavaScript in te schakelen moet je dat eigenlijk niet doen", zegt analist Brian Bebeau. "
Quote
Note that the attachment is now an HTML file with a JavaScript section, and it specifically instructs you to make sure to turn on JavaScript. If you view the attachment in a JavaScript-enabled browser, it creates a form asking for your personal information..
Dus, in de browserweergave in dit geval en niet in je emailprogramma zelf.
Logisch bij webmail, minder logisch bij een emailprogramma.

Interessante vraag is wel hoe het dan zit met een emailprogramma & Javascript beheer ?

Weergave in html kan immers, al is het veiliger om het in een platte tekst weer te geven, hoe zit het dan met javascript beheer?
- Zijn er emailprogramma's waar je basis instellingen hebt om Javascripts uit te schakelen in je html weergave ?
- Zijn er emailprogramma's waar je NoScript in kan installeren?

Ik vond het niet één twee drie.


Ik zie wat dat betreft maar een paar andere effectieve tegemoetkomende oplossingen :

1) Kijken of je javascript in de code van je emailprogramma kan uitschakelen, dat kan in mozilla based emailprogramma's in de about:config
javascript.enabled;false

2) Voorkomen dat je email programma verbinding maakt over poort 80 en 443 (en 8080) om externe webcontent binnen te halen -> goede oplossing ook tegen trackers.

3) Kijken of je je emailprogramma zo kan configureren dat voor het bekijken van links een browser benodigd is maar wel eerst een waarschuwing (in de vorm van een keuze bijvoorbeeld) wordt gegeven.
Dat kan in mozilla based emailprogramma's.

Geheel blokkeren van link-webcontent kan overigens ook, zorg dan wel dat je ook de internet'content'poorten 80, 443, 8080 dicht hebt voor je emailprogramma (of nog beter alle poorten waarover je aanvullende malwarecode zou kunnen binnenhalen, behalve dus de paar poorten die je wel nodig hebt voor alleen het binnenhalen van je email.
Maak desgewenst een whitelist aan voor je updatekanaal)
.
21-04-2015, 14:11 door FB
Door Anoniem:
"Als een e-mail je vertelt om JavaScript in te schakelen moet je dat eigenlijk niet doen", zegt analist Brian Bebeau. "
Quote
Note that the attachment is now an HTML file with a JavaScript section, and it specifically instructs you to make sure to turn on JavaScript. If you view the attachment in a JavaScript-enabled browser, it creates a form asking for your personal information..
Dus, in de browserweergave in dit geval en niet in je emailprogramma zelf.
Logisch bij webmail, minder logisch bij een emailprogramma.

Interessante vraag is wel hoe het dan zit met een emailprogramma & Javascript beheer ?

Weergave in html kan immers, al is het veiliger om het in een platte tekst weer te geven, hoe zit het dan met javascript beheer?
- Zijn er emailprogramma's waar je basis instellingen hebt om Javascripts uit te schakelen in je html weergave ?
- Zijn er emailprogramma's waar je NoScript in kan installeren?
Het eerste lijkt mij haast nergens mogelijk, Thunderbird kon dit laatste..

Bedankt voor de geboden oplossingen!
Weet jij of 3. ook mogelijk is in MS Outlook 2013?(evt. 2010 voor als ik in oudere office-versies moet werken ;-) )

Het beste is volgens mij om alles dicht te zetten voor je mailclient, behalve IMAP/SMTP(of evt. andere protocollen), maar echt niet meer dan dat.
Eventueel een whitelist van de updatelocaties als het echt nodig is, maar dat wel goed bijhouden.. ;)
21-04-2015, 15:04 door Anoniem
Door FB:
Door Anoniem:

- Zijn er emailprogramma's waar je NoScript in kan installeren?
Het eerste lijkt mij haast nergens mogelijk, Thunderbird kon dit laatste..

Setupje gemaakt en ernaar gekeken.
Nee, je kan geen NoScript installeren in Thunderbird.
Wel AdBlockplus maar dat lijkt me nog een beetje overbodig .
Ghostery zou dan weer wel nuttig kunnen zijn ivm trackers tegenhouden, Ghostery lust Thunderbird echter ook niet..

Bedankt voor de geboden oplossingen!
You're welcome, ransomeware is naargeestig en gun je niemand.
Op de andere vragen heb ik geen antwoord.
Heb geen Outlook in de collectie voor Mac (of dan ergens nog een antieke) en 'ff geen puf' om nog ergens een pc kast af te stoffen en te gaan opstarten. Dat vergeef je me vast, genoeg pc experts op dit forum om de Outlook vraag te beantwoorden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.