image

Flash Player-lek aangevallen via e-mail met 'Flash-update'

zaterdag 11 juli 2015, 07:09 door Redactie, 5 reacties

Naast cybercriminelen maken inmiddels ook verschillende groepen die zich met cyberspionage bezighouden gebruik van het beveiligingslek in Adobe Flash Player waarvoor deze week een patch verscheen. Het gaat om de kwetsbaarheid waar het Italiaanse HackingTeam over beschikte.

Een hacker die bij het bedrijf wist in te breken maakte 400GB aan data buit en zette die online. In de bestanden werd het Flash Player-lek gevonden en een exploit die ervan gebruik maakt. De exploit werd al snel aan exploitkits voor cybercriminelen toegevoegd en is inmiddels ook in het programma Metasploit opgenomen. Nu melden anti-virusbedrijf ESET en beveiligingsbedrijf Volexity dat zogeheten APT-groepen de exploit bij gerichte aanvallen inzetten. Het gaat dan vooral om aanvallen via e-mail.

De aanval waar Volexity voor waarschuwt bestaat uit een e-mail die zich voordoet als een bericht van Adobe. In het bericht worden gebruikers opgeroepen om Flash Player via de meegestuurde link te updaten. De link wijst niet naar de website van Adobe, maar naar een pagina die het deze week gepatchte Flash-lek probeert aan te vallen. Is de aanval succesvol, dan wordt er malware op de computer geïnstalleerd waarmee de aanvallers volledige toegang tot en controle over de computer hebben.

Tweede aanval

Ook in het geval van de aanval die ESET meldt wordt er gebruik van e-mail gemaakt om slachtoffers naar een kwaadaardige website te lokken. De link in de e-mail wijst naar een landingspagina die allerlei gegevens over de computer verzamelt. In het geval de computer aan bepaalde eisen voldoet, zoals taal en tijdszone, wordt de exploit geladen. Wederom gaat het om de exploit die gebaseerd is op de code van het Italiaanse HackingTeam.

Als de aanval slaagt, dan wordt er een backdoor geïnstalleerd. Deze backdoor maakt ook gebruik van een andere exploit waar HackingTeam over beschikte en waarmee het voor een aanvaller mogelijk is om zijn rechten op Windows te verhogen. Voor deze Windows-kwetsbaarheid, die alleen kan worden aangevallen als de aanvaller al toegang tot het systeem heeft, is nog geen update beschikbaar.

Image

Reacties (5)
11-07-2015, 09:05 door [Account Verwijderd] - Bijgewerkt: 11-07-2015, 09:06
[Verwijderd]
11-07-2015, 18:04 door Spiff has left the building
N.B.
En alweer een nieuwe kwetsbaarheid en aankomende patch:

https://blogs.adobe.com/psirt/?p=1235 -->
https://helpx.adobe.com/security/products/flash-player/apsa15-04.html

A critical vulnerability (CVE-2015-5122) has been identified in Adobe Flash Player 18.0.0.204 and earlier versions for Windows, Macintosh and Linux. Successful exploitation could cause a crash and potentially allow an attacker to take control of the affected system.

Adobe is aware of reports that an exploit targeting this vulnerability has been published publicly.
Adobe expects to make updates available during the week of July 12, 2015.

11-07-2015, 22:06 door [Account Verwijderd] - Bijgewerkt: 11-07-2015, 22:06
[Verwijderd]
12-07-2015, 00:01 door Anoniem
(2e poging, omdat letterlijk quoten uit openbaar beschikbare wikileaks files hier niet mag van de moderatie?)

De inspiratie voor toepassen van een fake Flashplayer installer lag dan ook letterlijk voor het oprapen

https://wikileaks.org/hackingteam/emails/
Tags:
youtube and flash injector
Youtube attack

emailid: 104359

Extra opletten met leuke youtube linkjes via de mail of je app!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.