image

Oekraïne doelwit van malware die gesprekken kan afluisteren

zondag 19 februari 2017, 06:41 door Redactie, 1 reacties

Tientallen organisaties in de Oekraïne zijn slachtoffer geworden van malware die gesprekken kan afluisteren en documenten kan stelen. De malware wordt verspreid via Word-documenten met een kwaadaardige macro. Volgens het document moeten macro's worden ingeschakeld om de inhoud te kunnen weergeven. Zodra de gebruiker hier gehoor aan geeft wordt de malware geïnstalleerd.

Voor de installatie wordt er echter gecontroleerd of WireShark en ProcessExplorer draaien. Twee tools waarmee malware op een systeem is te vinden. Ook wordt er gekeken of de kwaadaardige code niet in een virtual machine draait. Is dit niet het geval, dan worden er aanvullende modules en plug-ins gedownload. Die zoeken op de computer en aangesloten usb-sticks naar Office-documenten, alsmede zip-, rar-, pdf-, txt- en db-bestanden.

Verder zoekt de malware ook naar wachtwoorden en andere gevoelige informatie in de browser en kan er audio van de microfoon worden opgenomen. "In tegenstelling tot video-opnames, die vaak eenvoudig zijn te voorkomen door de camera af te plakken, is het bijna onmogelijk om de microfoon te blokkeren zonder die fysiek uit te schakelen", zegt beveiligingsbedrijf CyberX.

Alle gevonden documenten en andere informatie worden vervolgens naar Dropbox geüpload. "Een slimme aanpak, aangezien Dropbox-verkeer meestal niet door zakelijke firewalls wordt geblokkeerd", aldus het bedrijf. In totaal werden er meer dan 70 organisaties slachtoffer van de malware, waarvan het grootste deel zich in de Oekraïne bevindt. Wie er achter de aanval zit laat CyberX niet weten, maar het bedrijf stelt dat het om een professionele campagne gaat, aangezien de achterliggende infrastructuur van de aanvallers dagelijks gigabytes aan data moet verwerken.

Reacties (1)
19-02-2017, 14:10 door Anoniem
Alle gevonden documenten en andere informatie worden vervolgens naar Dropbox geüpload. "Een slimme aanpak, aangezien Dropbox-verkeer meestal niet door zakelijke firewalls wordt geblokkeerd"

Slimmer dan dom in ieder geval.
Want het is best dom te noemen van bedrijven om een link naar Dropbox open te hebben staan.

Onschuldig is dat Dropbox niet.
Het voegt zich op Mac's bijvoorbeeld toe aan de startup items en is bij opstarten dus direct actief in het leggen van een actieve verbinding met dropbox.
Ik zou je willen adviseren die actieve verbinding pas te openen als je haar nodig hebt.

Maar daar denkt dropbox anders over en heeft een listigheidje bedacht tegen gebruikers die zich een beetje willen beschermen.
Wanneer je de zelfgegeven permissies van dropbox weer weghaalt uit de startup item lijst zal dropbox zichzelf daaraan weer stiekem toevoegen zodra je dropbox weer een keer hebt geopend.
Dat is zeer laakbaar gedrag van dropbox.

Het wordt tijd dat gebruikers echt doorkrijgen dat dropbox andere ideeën heeft over security.
Je data zijn er niet goed beschermd, dat zegt ze zelf ook ergens in haar voorwaarden.
En heeft geen respect voor gebruikersvoorkeuren en ondergraaft tevens security keuzes.
Voor oudere machines geldt tevens dat dit appje ook nog eens onnodig computer capaciteit vraagt waar je machine alleen maar trager van wordt.

Gooi dropbox eraf, je (Mac) computer wordt er veiliger en sneller van.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.