image

Wachtwoordstelende RAT blijft 3 jaar lang onopgemerkt

donderdag 4 mei 2017, 13:49 door Redactie, 3 reacties

Onderzoekers van Cisco hebben een onbekende Remote Administration Tool (RAT) ontdekt die al 3 jaar door aanvallers wordt gebruikt en allerlei informatie van besmette systemen kan stelen, zoals wachtwoorden, cookies en bestanden. De malware wordt door Cisco KONNI genoemd.

In eerste instantie was de malware alleen in staat om informatie te stelen, zoals toetsaanslagen, maar de ontwikkelaar heeft de afgelopen jaren allerlei nieuwe features toegevoegd. Zo kan de malware nu lokdocumenten en -afbeeldingen tonen, screenshots maken en aanvallers willekeurige code op het systeem laten uitvoeren. Ook worden 64-bit systemen ondersteund. Sinds de malware in 2014 actief werd maken de aanvallers gebruik van de gratis hostingprovider 000webhost voor hun infrastructuur.

De aanvallen beginnen met een e-mail die een src-bestand als bijlage heeft. Als gebruikers de bijlage openen wordt er een lokdocument getoond, terwijl in de achtergrond het systeem besmet raakt. Aan de hand van de gebruikte lokdocumenten stelt Cisco dat de aanvallers het op publieke organisaties hebben voorzien. De gebruikte documenten bevatten gegevens van mensen die werken voor de VN, Unicef en ambassades en organisaties die banden met Noord-Korea hebben.

Wie er achter de malware zit is onduidelijk, maar de laatste aanvallen hebben een gemeenschappelijk thema. "De ontwikkelaar heeft duidelijk interesse in Noord-Korea, aangezien drie van de vier aanvalscampagnes daarmee te maken hebben", zegt onderzoeker Paul Rascagneres. Hij merkt op dat de aanvallers achter KONNI nog steeds actief zijn.

Reacties (3)
04-05-2017, 14:37 door Anoniem
Wachtwoordstelende RAT blijft 3 jaar lang onopgemerkt
Hoe kan dat als er volgens bijv. https://www.av-test.org/en/antivirus/business-windows-client/windows-7/ virusscanners zijn die 100% detectie hebben bij "0-day malware attacks"?

Iemand moet hier liegen...
04-05-2017, 16:08 door Anoniem
Door Anoniem:
Wachtwoordstelende RAT blijft 3 jaar lang onopgemerkt
Hoe kan dat als er volgens bijv. https://www.av-test.org/en/antivirus/business-windows-client/windows-7/ virusscanners zijn die 100% detectie hebben bij "0-day malware attacks"?

Iemand moet hier liegen...
Wil je, voordat je komt oordelen, eerst je eigen woorden tegen het licht houden?
Ik heb nu een sample die door VT wordt gedecteerd en bijna 3 jaar oud is.
De vraag is of deze RAT wel degelijk 3 jaar onder de radar is gebleven....Ik heb zo mijn twijfels.
05-05-2017, 16:51 door Anoniem
Door Anoniem:
Wachtwoordstelende RAT blijft 3 jaar lang onopgemerkt
Hoe kan dat als er volgens bijv. https://www.av-test.org/en/antivirus/business-windows-client/windows-7/ virusscanners zijn die 100% detectie hebben bij "0-day malware attacks"?

Iemand moet hier liegen...

Nee, iemand moet hier verkeerd interpreteren wat de betekenis is van de AV-Test "0-day test".

AV-Test, net als de andere testers, gebruikt een bepaalde set aan malware om de producten mee te vergelijken. Nou doen ze vast hun best om een goede set te kiezen, maar uiteindelijk is het maar een piepkleine deelverzameling van de hoeveelheid malware waar we met zijn allen in rondzwemmen (bv, voor de recente tests: 195 samples).

Dat zegt *iets* over in hoeverre een product beschermt tegen malware, maar is absoluut geen garantie dat een product 100% bescherming biedt tegen alle malware die dag in dag uit over ons uitgestort wordt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.