image

Java-backdoor besmet 440.000 computers wereldwijd

maandag 8 februari 2016, 17:26 door Redactie, 11 reacties

Een backdoor die in Java is geschreven en van de aanwezigheid van Java op systemen gebruikmaakt heeft wereldwijd ruim 440.000 computers weten te infecteren. Dat laat het Russische anti-virusbedrijf Kaspersky Lab vandaag weten. Adwind, zoals de backdoor heet, verspreidt zich via .jar-bestanden.

Gebruikers moeten deze bestanden, die via e-mail worden verspreid, zelf openen om door de backdoor geïnfecteerd te worden. De backdoor kan ook via .hta- en .vbs-bestanden worden verspreid. In dat geval wordt eerst Java op de computer geïnstalleerd, waarna de Adwind Java-backdoor wordt gedownload. De backdoor werkt volgens Kaspersky Lab op alle systemen die Java ondersteunen, waaronder Windows, Mac OS X en Linux.

Eenmaal actief kan de malware toetsaanslagen opslaan, opgeslagen wachtwoorden stelen, screenshots maken, foto's en geluid via de webcam opnemen, de microfoon afluisteren en bestanden, vpn-certificaten en sleutels voor bitcoin-portemonnees stelen. In het geval van de Android-versie die werd ontdekt is die ook in staat om sms-berichten te beheren.

De malware, die al vier jaar bestaat, werd wereldwijd in allerlei sectoren aangetroffen, waaronder bij banken in Singapore en Maleisië. Het gaat hier niet om aanvallen van één partij, maar allerlei cybercriminelen. Adwind wordt namelijk als 'malware as a service' aangeboden, waar cybercriminelen de backdoor tegen betaling van bedragen tussen de 25 tot 300 dollar kunnen gebruiken. Aangezien de backdoor van de aanwezigheid van Java op computers gebruikmaakt adviseert Kasperksy Lab bedrijven om de noodzaak van Java te evalueren en ervoor te zorgen dat ongeautoriseerde bronnen er geen toegang toe krijgen.

Reacties (11)
08-02-2016, 20:58 door Anoniem
jRat?

Nooit van gehoord?
Bij herhaling hier op security.nl ter sprake gekomen in disputen met een jafanaat die bij hoog en bij laag beweerde dat slechts de browserplugin in Java een risicootje vormde.
Wat niet zo is en wat kennelijk eerst door een AV bedrijf uit de mottenballendoos getrokken moet worden.

* Veel Nederlanders met onveilige Java en Flash Player
vrijdag 30 januari 2015
https://www.security.nl/posting/416812#posting416913

* Europol arresteert tieners wegens gebruik van malware
vrijdag 21 november 2014
https://www.security.nl/posting/409322#posting409330

* Microsoft: gebruikers moeten IE en Java updaten
vrijdag 13 juni 2014
https://www.security.nl/posting/391592#posting391819

(21 May 2014, Java-based Malware Distributed Through Spam
http://blog.spiderlabs.com/2014/05/java-based-remote-access-trojan-distributed-through-spam.html )


->> https://www.security.nl/posting/391592#posting391835

* Belgische politie adviseert afplakken van webcam
donderdag 16 januari 2014
https://www.security.nl/posting/375505#posting375513

(Muliple platform Remote Acces Java Based Malware uit 2012.
http://www.intego.com/mac-security-blog/new-multiplatform-backdoor-jacksbot-discovered/ )


Begin 2014 ook al onderwerp van gesprek op de Apple support communities.

Donder dus dat Java (weer) van je systeem als je het niet nodig hebt!
Dan heb je er immers ook geen omkijken meer naar, en help vrienden en familie als ze niet weten hoe dat te doen.
Kleine moeite, groot security plezier en geen Adware meer (via dat kanaal).
09-02-2016, 09:45 door Anoniem
Door Anoniem: jRat?
Donder dus dat Java (weer) van je systeem als je het niet nodig hebt!
Dan heb je er immers ook geen omkijken meer naar, en help vrienden en familie als ze niet weten hoe dat te doen.
Kleine moeite, groot security plezier en geen Adware meer (via dat kanaal).

Heeft niets te maken met het feit of je Java nog steeds onnodig hebt geïnstalleerd.
De backdoor kan ook via .hta- en .vbs-bestanden worden verspreid. In dat geval wordt eerst Java op de computer geïnstalleerd, waarna de Adwind Java-backdoor wordt gedownload.

Het attachment van de e-mail installeert Java voor je zodat de RAT gebruikt kan worden. <sarcasm>Het mooie van Java is dat het op elk OS draait </sarcasm>, dus hoeven de RAT bouwers maar één platform te ondersteunen.
09-02-2016, 11:47 door Profeet
Java deinstalleren. Ik heb veels te veel lol met java. ;)
09-02-2016, 11:56 door ph-cofi
Nare boel, deze Java-backdoor. Wat nou als er redenen zijn om Java geinstalleerd te hebben op een PC? Zo te zien begint het dan met het accepteren van een .jar file als e-mail attachment. Mooi, die zijn vast wel te blokkeren in de mail client, op die PC's waar Java op nodig is. Ik zie in onderstaande advisory nog een aanwijzing richting %APPDATA% om infectie onder Windows te voorkomen:

https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/26000/PD26278/en_US/McAfee_Labs_Threat_Advisory_Adwind.pdf

Al infecties onder OS-X of Linux gevonden?
09-02-2016, 17:12 door Anoniem
Door Anoniem:


Heeft niets te maken met het feit of je Java nog steeds onnodig hebt geïnstalleerd.

De backdoor kan ook via .hta- en .vbs-bestanden worden verspreid. In dat geval wordt eerst Java op de computer geïnstalleerd, waarna de Adwind Java-backdoor wordt gedownload.

Niets?
- Zonder Java werkt het niet.
- Als je Java al op je systeem hebt staan werkt het vast direct en succesvol.

Echter
- Moet de Java installatie als geheel eerst nog geïnstalleerd worden dan brengt dat extra hobbels met zich mee,
Admin rechten en toestemming bijvoorbeeld voor het installeren van Java.

Mijns inziens zou het dan wel degelijk uit moeten maken of Java al voorgeïnstalleerd staat of niet.
En of je onder je Admin of een accountmet gelimiteerde rechten werkt natuurlijk.
09-02-2016, 20:41 door karma4
Door ph-cofi: Al infecties onder OS-X of Linux gevonden?
Gtfw: http://www.techradar.com/news/computing/apple/apple-hacked-in-what-could-be-the-biggest-attack-on-mac-computers-ever-1132240 als je serieus nadenkt: Je moet zo min mogelijk troep in je browser hebben. Zie het als een terminal die verder niets mag ....

Java als programmeertaal is heel wat anders dan het gebruik in de browser. Het ideal plarformonafhankelijke code liefst als open source (niet for free). VM jvm .... Univerversaliteit maakt helaas ook kwestbaar voor ziektes.
09-02-2016, 20:49 door Anoniem
Door Anoniem: jRat?

Nooit van gehoord?
Bij herhaling hier op security.nl ter sprake gekomen in disputen met een jafanaat die bij hoog en bij laag beweerde dat slechts de browserplugin in Java een risicootje vormde.
Wat niet zo is en wat kennelijk eerst door een AV bedrijf uit de mottenballendoos getrokken moet worden.

Aanhoudende ongeïnformeerde Java-haat van Anoniem (Spiff?)

Feit is dat de Java browserplug-in voor bijna alle kwetsbaarheden gerelateerd aan Oracle/Java in het nieuws is. En dat niet Java maar de zwakke browserplug-in omgeving die door browserfabrikanten wordt aangeboden verantwoordelijk is hiervoor. Vandaar ook de problemen met alle browserplug-ins (Adobe Flash, Silverlight, etc. etc. etc.).
09-02-2016, 21:08 door [Account Verwijderd]
[Verwijderd]
10-02-2016, 12:41 door ph-cofi
Goed, ik Google nog wat meer. En ik zie dat Adwind infecties kunnen worden verkregen door .jar files in e-mail attachments te verstoppen en af te vuren. Dat Adwind infecties zich verstoppen voor gebruikers die filetypes niet tonen in hun mailclient.
Het verband met browserplugins heb ik nu ook gezien en gemerkt dat deze Adwind kwetsbaarheid mijn deur voorbij gaat (geen IE of Safari, geen Java plugins in browser, geen Oracle Java wat misschien ook helpt). Ben wel weer gewaarschuwd over hoe zijden de draadjes zijn in internetland.
10-02-2016, 18:25 door Anoniem
Door Anoniem:
Door Anoniem: jRat?

Nooit van gehoord?
Bij herhaling hier op security.nl ter sprake gekomen in disputen met een jafanaat die bij hoog en bij laag beweerde dat slechts de browserplugin in Java een risicootje vormde.
Wat niet zo is en wat kennelijk eerst door een AV bedrijf uit de mottenballendoos getrokken moet worden.

Aanhoudende ongeïnformeerde Java-haat van Anoniem (Spiff?)

Wie is er hier ongeïnformeerd?

Ik denk dat jij dat bent.
Hopelijk doe je dat niet expres.
Andere feiten :

- De java browser plugin zit in het aangeboden Java pakket van Oracle.

- De java browserplugin is onderdeel van de Java software die Oracle zelf levert.

- De Java browser plugin is géén zelfstandig onderdeel buiten het aangeboden Java pakket.
Maar integraal onderdeel van Java en daarom is het misleidend om alleen over de Java browser plugin te spreken als de kwade oorzaak.
Pas als Oracle de Java plugin als zelfstandig te installeren software aanbiedt is het eerlijk deze scheiding tussen Java en de Java browser plugin te maken.

- Bij mijn weten wordt de Java browserplugin helemaal niet geleverd door browser fabrikanten, dat heb ik voor het laatst gezien in Firefox 3 !
Al een jaar of 5 niet meer aan de hand.

Tenzij je aantoont wat je beweert is het pertinente onzin dat browserfabrikanten een zelfstandige Java plugin in de aanbieding hebben, IE?

>> Feit is in ieder geval dat het gehele pakket waarvan de Java browserplugin helaas standaard onderdeel van uitmaakt voor veel ellende heeft gezorgd.

>> Feit is ook dat als die browserplugin met ingang van de volgende grote Java release eruit wordt gehaald Java dus nog steeds voor grote ellende kan zorgen omdat er Malware software in Java geschreven en aangeboden wordt.

>> Feit is eveneens dat wanneer je geen Java op je systeem hebt die Malware dus niet zal werken.
Downloadt malware via een tussenweg het Java pakket om het te installeren en dan haar kwade code uit te voeren, dan ben je alsnog de sigaar.
Ik vermoed echter dat je in dat geval wel een beetje hebt moeten meewerken om het zover te laten komen, of dat je in beginsel al onveiliger met je computer werkte door een aantal securitymaatregelen niet in acht te nemen.

Je blindstaren op een woordspelletje rondom een onderdeeltje van een software pakket helpt in ieder geval niet je security te verhogen.
Want dan had je de plugin in je browser wel uitgeschakeld maar een Java file gewoon aangeklikt en alsnog stront gehad.
Gebruik van Java heeft voordelen maar juist ook voordelen voor criminelen.

1) JAVA in zijn totaal op je systeem verhoogt de kans op malware infectie.
2) Uitschakelen van de browserplugin is niet genoeg! Dat is schijnveiligheid!


Als je Java niet nodig hebt, waarom zou je dan criminelen dat voordeel op jouw systeem bieden?
Dat zou een beetje dom zijn nietwaar?
Jouw keuze.

Wat ook dom is wanneer iemand al jaren wijst op het impliciete gevaar van Java op je systeem dat maar afdoen als haat, daarmee ontwijk je de discussie wat slim lijkt maar niemand verder helpt.
Daarnaast, volgens mij voert Spiff weer andere interessante discussies aan op dit Forum en altijd onder zijn eigen accountnaam, ook een beetje ongeïnformeerd dus.

Beetje beter je huiswerk doen voortaan als je voor de aanval gaat.
En hou de grote lijn vast in plaats je te verliezen in details.
Dat houdt de discussie hopelijk helder.
18-02-2016, 16:24 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.