Vorige week donderdag kwam Mozilla met een noodpatch voor een kritieke kwetsbaarheid in Firefox die actief werd gebruikt om gebruikers van de browser aan te vallen. Nu blijkt dat het lek mogelijk veel eerder is aangevallen, ook Mac-gebruikers het doelwit waren, er meer informatie werd gestolen en de exploit ook op pornosites is gebruikt.
Via het beveiligingslek kon een aanvaller allerlei informatie van de computer stelen om die vervolgens naar een server te uploaden. Het ging om geschiedenisbestanden van bash, MySQL en PostgresSQL, SSH-gerelateerde configuratiebestanden en autorisatiesleutels, configuratiebestanden voor de remote access software Remmina, configuratiebestanden van FileZilla, PSI+ configuratie en tekstbestanden met mogelijke inloggegevens en shellscripts. Zowel Firefox-gebruikers op Linux, Windows als Mac waren uiteindelijk het doelwit van de aanval.
Het lijkt er nu op dat de kwetsbaarheid mogelijk al sinds 29 juli is ingezet om Firefox-gebruikers aan te vallen. Het Slowaakse anti-virusbedrijf ESET analyseerde de aanval. De server die werd gebruikt voor het verzamelen van de informatie van Firefox-gebruikers kwam op 27 juli van dit jaar online. Twee dagen later, op woensdag 29 juli, plaatst een gebruiker van het CS-Cart forum een bericht dat er bij het laden van een advertentie een bestand van 0KB automatisch wordt gedownload.
Op donderdag 6 augustus kwam Mozilla met de noodpatch, nadat de browserontwikkelaar een dag eerder door een gebruiker was gewaarschuwd. Deze gebruiker kreeg op een Russische nieuwssite een advertentie te zien die misbruik van het lek maakte om gevoelige gegevens te stelen. Vervolgens gingen de aanvallers "all in" aldus de analisten van ESET en verscheen er een nieuwe versie van de exploit.
Deze versie verzamelde ook tekstbestanden met sleutelwoorden, zoals wachtwoorden, certificaten en creditcardgegevens. Terwijl de eerste versie van de exploit alleen voor de Linux- en Windows-versie van Firefox werkte, ontwikkelden de aanvallers nu ook een versie voor Mac OS X. Daarnaast werd de exploit ook door verschillende andere groepen cybercriminelen gebruikt, voornamelijk op pornosites. De server waar de verzamelde gegevens naar toe werden gestuurd werd op 8 augustus inactief.
Deze posting is gelocked. Reageren is niet meer mogelijk.