De FBI en het Amerikaanse ministerie van Homeland Security waarschuwen voor een Trojaans paard genaamd "Keymarble" dat door de Noord-Koreaanse overheid bij aanvallen zou zijn gebruikt. Het is inmiddels de zevende waarschuwing voor "Noord-Koreaanse malware".
Keymarble fungeert als een Remote Access Trojan (RAT) waarmee aanvallers op afstand toegang tot Windows-systemen krijgen. De malware kan verder configuratiegegevens benaderen, aanvullende bestanden downloaden, commando's uitvoeren, het register aanpassen, screenshots maken en data terug naar de aanvallers sturen.
In de waarschuwing geeft de FBI "indicators of compromise" (IOCs). Een IOC is een aanwijzing waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, binnen het netwerk kan worden vastgesteld. Het gaat onder andere om ip-adresssen, whois-data, hashes, bestandsnamen, Yara-rules en anti-virusbenamingen.
Verder doet de FBI aanbevelingen om infecties door malware te voorkomen, zoals het updaten van anti-virussoftware en besturingssysteem, het uitschakelen van bestands- en printerdeling, het beperken van de rechten van gebruikers, het afdwingen van veilige wachtwoorden, voorzichtig zijn met e-mailbijlagen, het inschakelen van een personal firewall, het uitschakelen van onnodige diensten, het monitoren van het browsegedrag van gebruikers, het scannen van alle gedownloade bestanden en voorzichtig zijn in het gebruik van verwijderbare media.
In november en december vorig jaar, alsmede in februari, maart, mei en juni van dit jaar, publiceerden de FBI en Homeland Security ook al rapporten over "Noord-Koreaanse malware". Hoe Keymarble precies wordt verspreid laat de waarschuwing van de FBI niet weten.
Deze posting is gelocked. Reageren is niet meer mogelijk.