image

ESET: Provider voorziet downloads opnieuw van spyware

vrijdag 8 december 2017, 15:24 door Redactie, 16 reacties

Een internetprovider in een niet nader genoemd land voorziet progamma's die abonnees willen downloaden opnieuw van spyware, zo laat anti-virusbedrijf ESET weten. In september waarschuwde de virusbestrijder voor een aanval waarbij providers in twee landen actief voor getrojaniseerde downloads zorgden.

Als het doelwit van de surveillance-operatie een populaire applicatie wilde downloaden, zoals WhatsApp, VLC, WinRAR, Skype of Avast, werd hij door de provider doorgestuurd naar de server van de aanvallers. Daar werd een getrojaniseerde versie van de applicatie aangeboden. Tijdens de installatie wordt vervolgens de legitieme applicatie en de FinFisher-spyware geïnstalleerd. Via de FinFisher-spyware wordt volledige controle over het systeem verkregen en is het mogelijk om live met de webcam mee te kijken en de microfoon af te luisteren.

Nadat ESET het nieuws over de aanvallen op 21 september naar buiten bracht stopten die. Op 8 oktober werd in één van de twee landen de campagne hervat, zo meldt het anti-virusbedrijf vandaag. Wederom worden gebruikers bij het downloaden van populaire software naar een kwaadaardige server doorgestuurd. Het gaat om downloads van CCleaner, Driver Booster, Opera, Skype, VLC media player en WinRAR. In plaats van de FinFisher-spyware wordt nu echter de StrongPity-spyware geïnstalleerd. Via deze spyware zoeken de aanvallers naar allerlei soorten documenten. In welk land de aanvallen zijn waargneomen laat ESET niet weten. Wel heeft de virusbestrijder verschillende indicators of compromise gepubliceerd die gebruikers kunnen helpen bij het vinden van een infectie.

Reacties (16)
08-12-2017, 15:37 door Anoniem
En nu moet iedereen overal ESET gaan aanschaffen omdat ze het land in kwestie niet willen benoemen?
Met al het gejank en copyright geneuzel is na twintig jaar, toch wel het plezier van het internet verdwenen.
Het internet is niet meer geworden als een surveillance melkoe, welke alleen de massa indoctrineert.
(totaal onvoorkombaar, met alleen gefit op elkaar)
08-12-2017, 15:44 door Anoniem
Het niet noemen van de landen zou kunnen suggereren dat er meer providers zijn die spyware toevoegen waar ESET weet van heeft of dat ESET voor die providers werkt. De providers die het doen weten die waarschijnlijk wel maar mogen dit mogelijk niet (laten) onthullen.
08-12-2017, 15:50 door Anoniem
Wat heeft een dergelijke waarschuwing nu voor nut als je opnieuw niet vermeld waar dit gebeurd?!

Lijkt nogal behoorlijk illegaal met oog op wet netneutraliteit.
08-12-2017, 15:55 door Anoniem
Door Anoniem: Wat heeft een dergelijke waarschuwing nu voor nut als je opnieuw niet vermeld waar dit gebeurd?!

Lijkt nogal behoorlijk illegaal met oog op wet netneutraliteit.

Waarom zouden ze in Amerika toch van die net neutraliteit af willen?...
08-12-2017, 16:18 door Anoniem
Door Anoniem: Wat heeft een dergelijke waarschuwing nu voor nut als je opnieuw niet vermeld waar dit gebeurd?!
Hetzelfde nut als alle persberichten van antivirustool makers, en hetzelfde nut als regelmatige false positives op allerlei
populaire downloads: het op de kaart zetten van je naam als waakhond en partij die er toch maar even voor zorgt dat
jouw computer veilig blijft. Dat is heel belangrijk als je abonnementen wilt blijven verkopen.
08-12-2017, 17:14 door Anoniem
Door Anoniem: Wat heeft een dergelijke waarschuwing nu voor nut als je opnieuw niet vermeld waar dit gebeurd?!.
Omdat je beter gewaarschuwd kan zijn en dus bewuster bent dan niet gewaarschuwd over dit soort valse praktijken. Als je niets met de informatie denkt te kunnen hoef je er niet naar te luisteren. Beveiliging is meer dan informatie waar je meteen iets mee kan.
08-12-2017, 17:15 door Anoniem
Websites moeten eens opschieten met het aanbieden van HTTPS, dan kunnen we het hele HTTP in de ban doen en zijn dit soort fratsen volgens mij niet meer mogelijk.
Inlichtingendiensten zullen daar niet blij mee zijn, uiteraard.
08-12-2017, 18:01 door Anoniem
Blijft dat dit weer een Windows feestje is. Spionage op de massa is wat ze noemen een ding aan het worden. HTTPS, met controleerbare certificaten, zal deze vorm van overheidsnarigheid in de nabije toekomst vanzelf doen verdwijnen.

Natuurlijk is het ook wel eens misgegaan met de repositories van grotere linux-distibuties. Ik zou graag de broncode van eventuele experimentele linux Finfisher spul willen bekijken.

En ja, het is goed dat er iets naar buiten komt over deze praktijken. Laat zo veel mogelijk mensen nadenken over wat ze te verbergen hebben. Niet alleen voor nu, maar ook in verband met mogelijke toekomstige overheden en bedrijven.

Groeten uit Delft.
08-12-2017, 18:10 door Anoniem
Een dezer landen ligt zeer nabij de Nederlandse grens.
Eventjes bij Zundert de grens over en je bent al bij onze FinFisher gebruikende Zuiderburen.

StrongPity spyware is daaraan geleverd, maar eerst en vooral aan Italië, Algerije, etc.
die het verspreidden via besmette win.rar downloads.

Nog een reden te meer om de firma Kaspersky te bashen, die dit detecteerde en de landen in kwestie noemde.

Kaspersky ontdekt te veel vals spel laatstelijk en daarom zijn ze tot onbetrouwbare partner verklaard.

Het bekende "Het zijn de Ruzzians" verhaal, overal op deze hemisfeer te horen tot het je neus en oren uitkomt,
echter wel vaal zonder enige grondige onderbouwing en als zodanig wordt er steeds weer op deze harp gespeeld.
08-12-2017, 21:54 door Anoniem
StrongPity APT malcode, met name tevens toegepast in Turkije
en ook in Nederland bij Turkse ingezetenen of Nederlanders van Turkse origine.

Waarom wordt er geen ruchtbaarheid gegeven aan het gebruik van zulke staatsmalware
en wordt er anders mee omgegaan als met malware gebruikt door cybercriminelen?

Is beider gebruik dan niet even verwerpelijk en achterbaks?

Kom met een sleepwet en laat de burger echt weten wat men van plan is en wil doen,
voer een maatschappelijke discussie voor invoer van e.e.a.,
zodat het tenminste duidelijk is en te toetsen valt.

Het in het geniep bespioneren van burgers kan niet en mag niet
en toch gebeurt het. Zeker overgenomen vanuit het bedrijfsleven.

Zo een gedragsregel van de Groot Commercie als:
"Al hetrgeen dat niet expliciet aangegeven wordt als verboden of verboden is
en/of niet door enige partij wordt ontdekt of opgemerkt,
dat doen we lekker toch en wel zo lang het kan".

Vele regeringen kopieren zo'n stelregel natuurlijk,
omdat het verkeerde voorbeeld al een gegeven is
en aanlokkelijk blijft.
08-12-2017, 23:04 door Anoniem
Door Anoniem: Websites moeten eens opschieten met het aanbieden van HTTPS, dan kunnen we het hele HTTP in de ban doen en zijn dit soort fratsen volgens mij niet meer mogelijk. Inlichtingendiensten zullen daar niet blij mee zijn, uiteraard.
Bij HTTPS ligt het vertrouwen in alle CA bedrijven die certificaten uitgeven. Dat zijn heel veel bedrijven en zelfs als die `fouten` maken worden ze zelden onbetrouwbaar beschouwd. En bijna niemand die controleert of een uitgegeven certificaat van CA 2 wel even betrouwbaar is als een legitiem aangevraagd certificaat van CA 1. Er zijn initiatieven om wijzigingen in certificaten bij te houden, maar dat zijn slechts poging. Een beetje inlichtingendienst of crimineel die echt wil heeft genoeg geld en middelen om je malware te leveren. HTTPS vertrouwen zoals het nu werkt is niet betrouwbaar en dus geen oplossing tegen dit soort verspreiding van foute software.
09-12-2017, 16:26 door Anoniem
Door Anoniem:
Waarom wordt er geen ruchtbaarheid gegeven aan het gebruik van zulke staatsmalware
en wordt er anders mee omgegaan als met malware gebruikt door cybercriminelen?

Is beider gebruik dan niet even verwerpelijk en achterbaks?

Misschien om 1) Een signaal af te geven naar de makers/landen dat het ontdekt is. 2) Om de geheime diensten de kans te geven om nog wat meer info te verkrijgen.
En waarom zou de gewone burger gestoord moeten worden met dingen waar ze toch geen verstand van hebben, als ze hun eigen computer nog niet eens kunnen/willen beveiligen.
De reactie dat men het *moet* weten is weer 's een typische (over)reactie van de [ultra]rechterkant.
09-12-2017, 22:28 door Anoniem
Bepaalde partijen houden wel degelijk een vinger aan de pols bij het vaststellen van de authenticiteit van certificering.
En zaken als geïnstalleerd als root op de server (no best policy) e.d.

Zie bijvoorbeeld: https://www.threatminer.org/ssls.php?q=mindspark%20interactive%20network&t=14

Dit zou kunnen gelden voor een host als noem maar eens een dwarsstraat -ak.imgfarm.com etc.
die ons van PUPs voorzien wil en andere adware, als men even niet oplet.

En wat deze jongens (IP) 'uitvreten' op het net: https://toolbar.netcraft.com/site_report?url=http://104.67.175.133
Akamai GHost driven...

Het Internet is op sommige plaatsen net een moeras met nogal wat drijfzand en voor de kust wat rare muien en sleupen.

Het blijft een verraderlijk landschap, behalve voor degenen, die er geen weet van hebben en dat is het merendeel.

Goed dat deze site bestaat overigens en nog dank aan Bitwiper voor allle heads-ups over certificering-issues,
die ik netjes inmiddels in mijn hoofd heb geclassificeerd. Bitwiper, hou de zon zij, man!

Jodocus Oyevaer
11-12-2017, 10:50 door Anoniem
Wat heeft een dergelijke waarschuwing nu voor nut als je opnieuw niet vermeld waar dit gebeurd?!
Omdat vrijwel niemand SHA256 hashes van downloads valideert, terwijl je juist daarmee deze fratsen kunt detecteren. Anyway, gezien de penetratiegraad van ESET klanten zal dit wel ergens in de GOS landen spelen.
11-12-2017, 10:52 door Anoniem
Hetzelfde nut als alle persberichten van antivirustool makers, en hetzelfde nut als regelmatige false positives op allerlei
populaire downloads: het op de kaart zetten van je naam als waakhond en partij die er toch maar even voor zorgt dat
jouw computer veilig blijft. Dat is heel belangrijk als je abonnementen wilt blijven verkopen.
Ik wil het omdraaien: er is een chronisch gebrek aan partijen die zulk onderzoek doen zónder commercieel oogmerk. Google Project Zero is een van de weinigen. Tot die tijd moeten we het doen met commerciële persberichten die je goed op waarde moet schatten.
11-12-2017, 19:28 door Anoniem
Door Anoniem:
Wat heeft een dergelijke waarschuwing nu voor nut als je opnieuw niet vermeld waar dit gebeurd?!
Omdat vrijwel niemand SHA256 hashes van downloads valideert, terwijl je juist daarmee deze fratsen kunt detecteren. Anyway, gezien de penetratiegraad van ESET klanten zal dit wel ergens in de GOS landen spelen.

Bij veel van dit soort "populaire downloads" zijn deze niet beschikbaar en als ze dat al zijn, hoe moeilijk is het dan met behulp van een MITM via een certificaat van de overheid, een valse hash te injecteren in het webverkeer?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.