image

Nederlands misdaadblog Crimescene verspreidt malware

vrijdag 24 april 2015, 16:52 door Redactie, 9 reacties
Laatst bijgewerkt: 25-04-2015, 13:20

Aanvallers zijn erin geslaagd het Nederlandse misdaadblog Crimescene te hacken en te gebruiken voor de verspreiding van malware. Daarvoor waarschuwt het Nederlandse beveiligingsbedrijf Redsocks. Volgens onderzoeker Rickey Gevers ontvangt Crimescene maandelijks 300.000 tot 400.000 bezoekers, waarvan "een zeer groot percentage" uit politieagenten bestaat.

"Het weblog is met name populair onder criminelen en daarom ook erg interessant voor partijen als politie en justitie. Deze groepen lopen hierdoor een verhoogd risico geïnfecteerd te worden met de betreffende malware", aldus Gevers. Voor Crimescene zijn twee domeinen geregistreerd, die op verschillende manieren de malware verspreiden. De ene website gebruikt een drive-by download, waarbij een bekend beveiligingslek in Java wordt gebruikt om bezoekers met malware te infecteren. De tweede aanval verloopt via een Java-applet dat de malware op de computer probeert te installeren.

In het geval de aanval succesvol is wordt de SpyNet Remote Access Trojan (RAT) geïnstalleerd. Via deze vrij eenvoudige malware heeft een aanvaller volledige controle over de computer en kan bijvoorbeeld de webcam van het slachtoffer bedienen. "Het is opmerkelijk dat deze malware juist op deze website wordt ingezet, en dit lijkt een gericht en voor opgezet plan", aldus Gevers.

De domeinen van Crimescene worden op verschillende servers gehost, maar op beide servers zijn dezelfde bestanden geplaatst. "Gezien het verwantschap tussen beide sites is het mogelijk dat de websites gehackt zijn en op beide servers hetzelfde wachtwoord is gebruikt, waardoor de aanvaller de betreffende bestanden op beide servers heeft kunnen plaatsen", besluit de onderzoeker.

Reacties (9)
24-04-2015, 17:03 door Anoniem
Crimescene Injectification ?
24-04-2015, 17:39 door Anoniem
Sedert enkele mimuten is Het Algemeen Dagblad niet meer bereikbaar. Bitdefender geeft aan dat de site besmet is en blokkeert de toegang.
24-04-2015, 18:03 door Anoniem
Gelukkig wordt de downloader goed gedetecteerd:
https://www.virustotal.com/nl/file/53b7566f470199907eb680465a34be2133f11bdb871887bbf67826ea0e907092/analysis/1429864854/
24-04-2015, 18:58 door Anoniem
Rechtstreekse uitvoer van Java executables zijn een onterecht vergeten en onderbelicht risico.
Buitengewoon krachtig en effectief in combinatie met social engineering.

De ene website gebruikt een drive-by download, waarbij een bekend beveiligingslek in Java wordt gebruikt om bezoekers met malware te infecteren. De tweede aanval verloopt via een Java-applet dat de malware op de computer probeert te installeren.
ja, JAVA Executables bestaan echt

In het geval de aanval succesvol is wordt de SpyNet Remote Access Trojan (RAT) geïnstalleerd. Via deze vrij eenvoudige malware heeft een aanvaller volledige controle over de computer en kan bijvoorbeeld de webcam van het slachtoffer bedienen.
ja, JAVA Ratten bestaan echt

Vaker op gewezen hier
https://www.security.nl/posting/391592#posting391835
https://www.security.nl/posting/375505#posting375510
https://www.security.nl/posting/375505#posting375513

Gebruik je Java niet, hup van je systeem af.
Mocht je toch een keer tegen een JAVA RAT aanlopen dan heeft een klik teveel in ieder geval geen infectie als resultaat, hooguit een moment van verspilde energie.
24-04-2015, 20:31 door johanw
Door Anoniem:
Gebruik je Java niet, hup van je systeem af.
Alleen de browser plugin is altijd een bron van problemen. Ik compileer Android programma's, dan heb je de JDK nodig. Maar de browser plugin heb ik uitgeschakeld.
24-04-2015, 21:58 door Anoniem
Door johanw:
Door Anoniem:
Gebruik je Java niet, hup van je systeem af.
Alleen de browser plugin is altijd een bron van problemen. Ik compileer Android programma's, dan heb je de JDK nodig. Maar de browser plugin heb ik uitgeschakeld.

Jij gebruikt Java wel, hebt een voor jou acceptabele oplossing gevonden (waarbij dient te worden opgemerkt dat de javabrowserplugin geen zelfstandig java software is maar 'gewoon' onderdeel is van het standaard aangeboden te installeren Java pakket, ook al doen sommigen/een enkeling er alles aan om die beeldvorming te vertroebelen, maar dat terzijde), dus was de opmerking "Gebruik je Java niet,." in ieder geval niet aan jou gericht. ;)
24-04-2015, 22:46 door Anoniem
Door Anoniem: Sedert enkele mimuten is Het Algemeen Dagblad niet meer bereikbaar. Bitdefender geeft aan dat de site besmet is en blokkeert de toegang.
Sedert een 1/2 uur is Nu.nl ookniet meer bereikbaar.
25-04-2015, 00:58 door [Account Verwijderd] - Bijgewerkt: 25-04-2015, 01:00
[Verwijderd]
31-07-2015, 10:27 door Anoniem
Daarom lees ik en bezoek ik mijn webpagina alleen met een console

Een console doet niet aan java en andere dergelijke plug ins
Zo heb je een stukje beveiliging maar dan extern dus ben je niet zelf afhankelijk
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.