image

Softwareontwikkelaars doelwit van gerichte aanval via macro's

woensdag 29 maart 2017, 17:02 door Redactie, 8 reacties

Softwareontwikkelaars zijn begin dit jaar het doelwit van een gerichte aanval geweest waarbij er via een kwaadaardig Word-document werd geprobeerd om hun systeem met malware te infecteren. Onder andere Giorgio Maone, de ontwikkelaar van de populaire Firefox-extensie NoScript, was het doelwit.

De aanvallers verstuurden e-mails waarin ze de ontvanger vroegen om aan een project te werken of werd er een baan aangeboden. Meer informatie zou in het meegestuurde doc-bestand zijn te vinden. Het doc-bestand bevatte echter een kwaadaardige macro die, wanneer ingeschakeld, malware op het systeem plaatste. Maone ontving in januari twee van dergelijke berichten die handgemaakt leken te zijn.

Volgens de NoScript-ontwikkelaar ging het waarschijnlijk om een gerichte aanval tegen ontwikkelaars van opensourceprojecten. Hij krijgt bijval van beveiligingsbedrijf Palo Alto Networks, dat meldt dat ook ontwikkelaars op het ontwikkelplatform GitHub doelwit zijn geworden. Via de macro wordt een malware-exemplaar geïnstalleerd waarvan de eerste varianten van 2014 dateren.

Het gaat om modulaire malware die in staat is om toetsaanslagen op te slaan, screenshots te maken, malware in draaiende processen te injecteren en zichzelf weer van het systeem te verwijderen. Daarnaast probeert het verkeer van en naar het besmette systeem te maskeren zodat het niet opvalt. Zo genereert de malware requests die naar een inmiddels uitgefaseerde Google-dienst lijken te gaan, maar in werkelijkheid alleen als camouflage dienen, aldus de onderzoekers.

Image

Reacties (8)
29-03-2017, 18:02 door karma4
Kansloos toch oss ontwikkelaars gebruiken niets dat met macro's werkt. Of ....
29-03-2017, 20:44 door mcb
Door karma4: Kansloos toch oss ontwikkelaars gebruiken niets dat met macro's werkt. Of ....
Roep dat niet te hard.
Een aantal jaar geleden bij een eerdere werkgever waren er een aantal (goedbetaalde) devs die wilden weten hoe virussen in elkaar zaten en dachten slim te wezen door deze te runnen en kijken wat ze deden.
Op zich niet erg ware het niet dat:
- ze dit niet deden op hun test pc maar aan het netwerk gekoppelde werk-pc;
- en niet eens een sandbox gebruikten.
30-03-2017, 06:39 door karma4
Door mcb:
Roep dat niet te hard. ....
Dan je. Ik maakte al een voorzichtig voorbehoud. Het is die houding dat mij niets kan gebeuren omdat .... nu net de grootste risico's met zich meebrengt. Whale phishing us er op gebaseerd met angst voor de grote enge machtige baas.

Ik steek er liever anders in. Waar kan misbruik van gemaakt worden en hoe dicht je dat zo goed mogelijk of kan je onder toezicht houden met monitoring.
30-03-2017, 07:51 door [Account Verwijderd]
[Verwijderd]
30-03-2017, 16:11 door mcb
Door karma4:....Waar kan misbruik van gemaakt worden en hoe dicht je dat zo goed mogelijk of kan je onder toezicht houden met monitoring.
We kwamen daar achter omdat ik de EPO-server beheerde (mcafee enterprise mgt) en aan een IT manager vertelde dat het aantal detecties in het gebouw waar de devs zaten ver boven het gemiddelde zat. Die manager is toen (onofficieel) vragen gaan stellen.

Door Rinjani: Mijn god! Wat een rare horrorverhalen! Bij wat voor achtergebleven bedrijven werken jullie?
Je wilt niet weten wat ik voor discussies met het senior IT managment heb gehad over dit soort (en andere) zaken.
30-03-2017, 18:52 door karma4
Door Rinjani: Mijn god! Wat een rare horrorverhalen! Bij wat voor achtergebleven bedrijven werken jullie?
Het is gangbaar in vrijwel elke organisatie alleen de kleintjes kunnen wegkomen met zwijgen en ontkennen.
Heb je een positie waar je net die geluiden kan opvangen dar herken je veel. De meest interessante is de connectie tussen techniek en Analytics interne accountants marketing en soc met wat nu ibig data genoemd wordt.

Uit vervlogen tijden:
- directeur is op congres geweest en heeft een cd van een fatantastich product meegekregen die engineering moet uitproberen en evalueren. Een klein issue met malware..
- komt er een dure externe binnen om een duur product te installeren voor des directeur. Hij loopt vast op autorisatiecodes maar meld vrolijk dat de installatie geslaagd is. In de migratie van machines een 3/4 jaar later komt men er achter dat men niet kan werken met de man zijn account en vraagt wat het kan zijn. Tja het was om het hete aardappel ego te doen niet of het werkbaar was. Geld wegsmijten geen probleem.

Zoek in de fortune 500 en je kan het terugvinden .
Heb je die verhalen niet dan heb je of niet opgelet of je bent er nooit mee aanraking gekomen.

De post van mcb Hoe ze het ontdekt hebben is heel herkenbaar.
01-04-2017, 14:17 door [Account Verwijderd]
[Verwijderd]
02-04-2017, 11:38 door Anoniem
Door Rinjani:
Door karma4:
Door Rinjani: Mijn god! Wat een rare horrorverhalen! Bij wat voor achtergebleven bedrijven werken jullie?
Het is gangbaar in vrijwel elke organisatie alleen de kleintjes kunnen wegkomen met zwijgen en ontkennen.
Heb je een positie waar je net die geluiden kan opvangen dar herken je veel. De meest interessante is de connectie tussen techniek en Analytics interne accountants marketing en soc met wat nu ibig data genoemd wordt.

LOL. De kleintjes die niet weten hoe klein ze eigenlijk zijn en zichzelf een 'positie' toedichten waarin ze de 'geluiden' kunnen opvangen en veel herkennen. Nou karma4, ik heb nieuws voor je: bij normale bedrijven kom je dit soort wazige scenario's niet tegen en dat heeft niets met je 'positie' te maken.

Door karma4: Uit vervlogen tijden:
- directeur is op congres geweest en heeft een cd van een fatantastich product meegekregen die engineering moet uitproberen en evalueren. Een klein issue met malware..
- komt er een dure externe binnen om een duur product te installeren voor des directeur. Hij loopt vast op autorisatiecodes maar meld vrolijk dat de installatie geslaagd is. In de migratie van machines een 3/4 jaar later komt men er achter dat men niet kan werken met de man zijn account en vraagt wat het kan zijn. Tja het was om het hete aardappel ego te doen niet of het werkbaar was. Geld wegsmijten geen probleem.

Zoek in de fortune 500 en je kan het terugvinden .
Heb je die verhalen niet dan heb je of niet opgelet of je bent er nooit mee aanraking gekomen.

Ah, dat soort dingen speelt zich dus af in jouw werkomgeving. Wat een verhaal! Het verklaart veel m.b.t. jouw vervormde beeld van de wereld.
Helaas is dit geen vervormd beeld van de werkelijkheid. Is is vrij normaal in de ICT wereld, helaas...... ICT mag niets kosten, want is vaak alleen maar een kosten post. Ze moeten al het vage maar ondersteunen. Ze moeten wel tijd klaar staan voor alle kleine flut dingen. En als het niet werkt ligt het altijd aan ICT. En vooral niet te moeilijk doen......

Helaas vaak de waarheid.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.