image

Zogenaamde Silverlight-update in document blijkt keylogger

zondag 15 januari 2017, 08:06 door Redactie, 10 reacties

Onderzoekers waarschuwen voor een recent ontdekte campagne gericht tegen een financieel dienstverlener waarbij Word-documenten werden gebruikt die zogenaamd een Silverlight-update aanboden. In werkelijkheid ging het om een embedded Visual Basic-script dat een keylogger installeerde.

Dat laat beveiligingsbedrijf Proofpoint weten. Volgens het bedrijf is de aanval opvallend omdat die gericht was tegen een enkele organisatie. Daarnaast gebruikten de aanvallers geen macro's maar een embedded object dat een kwaadaardig script bleek te zijn. Dit script installeerde weer een keyloggeer die informatie van de computer naar twee Gmail-adressen doorstuurde.

Om de aanval te laten slagen moest het slachtoffer de zogenaamde Silverlight-update wel aanklikken en uitvoeren. "Hoewel het gebruik van embedded objecten in plaats van macro's niet nieuw is, blijven kwaadaardige macro's op dit moment de favoriete keuze van aanvallers. We verwachten echter dat de techniek van embedded objecten dit jaar populairder zal worden", aldus analist Danny Howerton. Volgens Howerton is het belangrijk dat organisaties ook met deze aanvalsvector rekening houden.

Image

Reacties (10)
15-01-2017, 08:51 door karma4
Aanklikken en een software update? In een goede professionele omgeving Is zeker de laatste stap dicht gezet.
Is dat de reden dat deze malware opgemerkt is?
Gericht tegen een bepaalde financial, welke en hoe eenvoudig zou het overzetten zijn naar een ander doel?
15-01-2017, 10:32 door ph-cofi
En misschien is de keuze voor Silverlight opvallend voor de betreffende organisatie, omdat het geen gangbare software voor ze was. Dan kunnen we erop wachten dat varianten doen alsof een nieuwe Adobe reader/flashplayer moet worden geinstalleerd. Wat ik niet begrijp, een VB script vergt toch altijd macro-activatie binnen MS-Word?
15-01-2017, 11:20 door Anoniem
Door ph-cofi: En misschien is de keuze voor Silverlight opvallend voor de betreffende organisatie, omdat het geen gangbare software voor ze was. Dan kunnen we erop wachten dat varianten doen alsof een nieuwe Adobe reader/flashplayer moet worden geinstalleerd. Wat ik niet begrijp, een VB script vergt toch altijd macro-activatie binnen MS-Word?

Klopt, en menig gebruiker zal die zonder-meer verstrekken binnen het Office-pakket als er dan gesproken wordt van een "Microsoft Onderdeel". Ze zullen dat als vertrouwd beschouwen terwijl een-ieder met de kleinste hoeveelheid inzicht tot Silverlight zich af zal vragen "Waar the *bliep* heeft een document Silverlight voor nodig?!?".
Het is dus gericht op de niet al te snuggere gebruiker die er in zal stinken dat een MS-app om een MS-update lijkt te vragen.
15-01-2017, 14:06 door [Account Verwijderd]
Er kan niet vaak genoeg voor gewaarschuwd worden:
Als wordt gesuggereerd (email of geïntegreerd in gedownloade content) dat je iets nodig hebt aan software ter uitbreiding van een functionaliteit èn daarvoor wordt een 'handig knopje' aangeboden om op te klikkerdeklikken
moeten meteen alarmbellen gaan rinkelen.
Hoe legitiem de mail of het document ook schijnt te zijn, denk: "dit is foute boel!"

Ik persoonlijk klik nooit, nooit en nog eens nooit op een 'knop' in email.
Bijvoorbeeld:
Click to track your Parcel.
Dank voor het geboden gemak, maar... ik ga zelf wel naar mijn account bij de betreffende webshop. Kan ik het ook vinden. Kost iets meer tijd/moeite.

To view this Document you need ...
Ga zelf naar een site die de gevraagde software aanbiedt, of beter nog: ga altijd naar de site van de ontwikkelaar.
15-01-2017, 14:42 door Anoniem
Door Aha: Er kan niet vaak genoeg voor gewaarschuwd worden:
Als wordt gesuggereerd (email of geïntegreerd in gedownloade content) dat je iets nodig hebt aan software ter uitbreiding van een functionaliteit èn daarvoor wordt een 'handig knopje' aangeboden om op te klikkerdeklikken
moeten meteen alarmbellen gaan rinkelen.
Hoe legitiem de mail of het document ook schijnt te zijn, denk: "dit is foute boel!"
Een belangrijke reden dat die alarmbellen bij veel mensen niet gaan rinkelen is dat ze de gebruikte afbeelding eerder gezien hebben op legitieme websites met een Silverlight-component. Ja, dan zit het niet in een Word-document, maar weten mensen die een website 'app' noemen dat onderscheid te maken? Dankzij het enthousiast toepassen van macro's die documenten in applicaties kunnen veranderen en het starten van een applicatie als je op het icoon van een document klikt loopt het allemaal nogal door elkaar.

Microsoft zelf is in mijn ogen sinds Windows '95 een van de drijvende krachten geweest in een verkeerd soort makkelijk maken, namelijk een "laat mij het maar doen dan hoef jij niet na te denken"-gemak in plaats van een "we houden heel consequent en duidelijk vast aan gebruikte concepten zodat wat je geleerd hebt na een upgrade nog steeds waar is"-gemak. Bij dat laatste moet je ogenschijnlijk meer leren maar wat je leert is waardevast. Nu is de IT een chaos van voortdurend veranderende en tegenstrijdige boodschappen. "Klik hier op". "Klik hier vooral niet op", terwijl het er hetzelfde uitziet. "Denk hier niet bij na, dit is makkelijk". "Wat ben je een sukkel dat je dat niet doorhad", bij wederom dingen die er voor een leek hetzelfde uitzien.

Het resultaat is dat mensen in dit soort dingen blijven trappen.
15-01-2017, 17:20 door Anoniem
Ik zou alleen die silverlight bij Microsoft downloaden nooit inderdaad op een onbekende site.
Maar goed ik geloof dat silverlight uitgefasseerd wordt en steeds meer over gaat naar html 5.
15-01-2017, 20:27 door karma4
Door Anoniem: ...
Microsoft zelf is in mijn ogen sinds Windows '95 een van de drijvende krachten geweest in een verkeerd soort makkelijk maken, namelijk een "laat mij het maar doen dan hoef jij niet na te denken"-gemak ......
.Nu is de IT een chaos van voortdurend veranderende en tegenstrijdige boodschappen.
....
Het resultaat is dat mensen in dit soort dingen blijven trappen.
In die laatste twee heb je gelijk. Dat het aan ms ligt niet.
Het zijn de bedrijven kostenbesparingen lager opgeleiden geen cursussen gewenst etc met outsourcen naar lagere lonen landen die dat in de hand gewerkt hebben. Meer overdenkingen over interfaces en opleidig gebruikers nodig? Zorg maar dat het met knoppendrukinstructies opgelost kan worden. De volgende ronde dumpen we de huidige krachten en nenen we wel wat goddkopere krachten. Enig idee hoe hr en de financiele boekhouding werkt? Waag het niet om een dwarsligger te zijn. Je zal merken dat ze gaan proberen ook jou te dumpen.
15-01-2017, 21:27 door Anoniem
Afz FB

Heel simpele oplossing
- Elke organisatie die betrouwbaar wil zijn naar ontvangers zal met een (herkenbare betrouwbare) digitale handtekening elke mail moeten ondertekenen. Dit is een hygiëne maatregel ten behoeve van de ontvangers (klanten, relaties, etc). Dit mag geautomatiseerd onder de EIDAS verordening.
- Hoe meer organisaties dit doen, des te herkenbaarder is onbetrouwbare email.
- Natuurlijk kan een bewust bekwame slechterik (bbs) ook certificaten maken maar
-- die is dan herkenbaar onbetrouwbaar
-- of van een betrouwbare uitgever en dan kan de bbs opgespoord worden.
15-01-2017, 23:27 door Erik van Straten - Bijgewerkt: 16-01-2017, 21:35
15-01-2016, 10:32 door ph-cofi: Wat ik niet begrijp, een VB script vergt toch altijd macro-activatie binnen MS-Word?
Office documenten kunnen OLE componenten bevatten (zoals een listbox in een Excel file, maar ook een kwaadaardig Flash object), en die staan los van macro's. Ik heb daar eerder over geschreven, zie o.a. onderaan mijn bijdrage onder [1].

De aanval, die zo te zien niets met Silverlight te maken heeft (anders dan de valse suggestie dat Silverlight nodig is en "Click now to install" Silverlight zal installeren), maakt naar verluidt gebruik van "Packager Shell Object". Die aanvalsvorm kende ik nog niet, maar wat Googlen levert op dat deze techniek niet nieuw is (zie bijv. [2] en [3]) en dat ze verschillende beveiligingsmaatregelen weet te omzeilen, zie [4].

Aanvullingen 16-01-2017, 21:35: correctie in de 1e regel: het gaat niet om ActiveX maar om OLE componenten.
Meer informatie over risicovolle Packager Shell Object compontents in Office docs en WordPad (write.exe) vind je o.a. in [5] en [6].

[1] https://www.security.nl/posting/489425/Ransomware+decrypters+en+maatregelen#posting489458
[2] https://enigma0x3.net/2015/03/19/packager-shell-object-being-used-as-infection-vector/
[3] https://community.hpe.com/t5/Security-Research/Technical-analysis-of-the-SandWorm-Vulnerability-CVE-2014-4114/ba-p/6649758
[4] https://medium.com/@networksecurity/dredex-the-next-way-to-drop-dridex-on-your-users-brain-82f89c6b2a4e
[5] https://www.blackhat.com/docs/us-15/materials/us-15-Li-Attacking-Interoperability-An-OLE-Edition.pdf
[6] https://blogs.mcafee.com/mcafee-labs/dropping-files-temp-folder-raises-security-concerns/
16-01-2017, 08:18 door Anoniem
Door karma4: In die laatste twee heb je gelijk. Dat het aan ms ligt niet.
Ik scheef "een van de drijvende krachten", niet "de drijvende kracht". Ik schrijf het effect niet volledig aan Microsoft toe, ik vind wel degelijk dat ze een actieve factor erin zijn geweest.
Het zijn de bedrijven kostenbesparingen lager opgeleiden geen cursussen gewenst etc met outsourcen naar lagere lonen landen die dat in de hand gewerkt hebben. Meer overdenkingen over interfaces en opleidig gebruikers nodig? Zorg maar dat het met knoppendrukinstructies opgelost kan worden. De volgende ronde dumpen we de huidige krachten en nenen we wel wat goddkopere krachten. Enig idee hoe hr en de financiele boekhouding werkt? Waag het niet om een dwarsligger te zijn. Je zal merken dat ze gaan proberen ook jou te dumpen.
Wat een bedrijf als Microsoft heeft ontwikkeld is niet alleen maar een reactie op die mentaliteit, het is vooral ook een aanjager van die mentaliteit geweest. In de jaren '90 hebben ze zwaar ingezet om ieder huishouden van een pc met Windows te voorzien en daarbij voortdurend Windows aan de man gebracht als een systeem dat alles probleemloos en vanzelf deed gaan, en dat heeft ook hun UI-stijl voor een belangrijk deel gevormd en ook in de actuele Windows-versies is dat merkbaar.

Ik ben sinds de jaren '80 automatiseerder en heb de veranderingen in verwachtingen van gebruikers én jonge IT'ers zien plaatsvinden. Het zijn wel degelijk pc's met Windows in alle huiskamers geweest die met hun spreadsheetprogramma's, macro's in tekstverwerkers, compleet met sleur-en-pleur-hulpmiddelen om even een dialoogschermpje in elkaar te flansen of een Access-databaseje, het beeld aanwakkerden dat die professionele automatiseerders veel te moeilijk deden en veel te traag en duur waren. Ik heb mensen - en jonge automatiseerders die nog niet geleerd hadden dat een gelikte interface snel bouwen nog geen applicatie oplevert die doet wat hij doen moet - met die verwachtingen veelvuldig met hangende pootjes bij de pro's aan zien kloppen om ze uit de shit te helpen die ze gecreëerd hadden die niet schaalbaar, niet onderhoudbaar, niet beheersbaar bleek te zijn.

Globalisering is ook een factor. Bedrijven concurreren vaak niet alleen meer met wat in de buurt zit maar met met heel Europa of de hele wereld. Het is niet het een of het ander, het versterkt elkaar. Maar dat bijvoorbeeld cursussen niet meer nodig worden gevonden is niet alleen een gevolg van de druk op kosten, het is ook een gevolg van de illusie dat je alles op een computer kan gebruiken zonder er iets voor te moeten leren. En in het aan de man van die illusie heeft Microsoft wel degelijk een actieve, aanjagende rol gespeeld. Ze zijn niet de enige, maar wel degelijk een belangrijke en dominante speler daarin.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.