image

Macro-malware steelt RDP-, VNC- en PuTTY-wachtwoorden

woensdag 13 februari 2019, 13:56 door Redactie, 9 reacties

Er is een nieuwe variant van de Trickbot Trojan ontdekt die wachtwoorden van applicaties steelt waarmee het mogelijk is om op afstand op systemen in te loggen. Trickbot is oorspronkelijk een banking Trojan die als doel heeft het stelen van inloggegevens voor internetbankieren.

Vorig jaar werd de malware van een "password grabber" voorzien die wachtwoorden uit Microsoft Outlook, Filezilla, WinSCP, Google Chrome, Mozilla Firefox, Internet Explorer en Microsoft Edge buitmaakt. De nieuwste variant die onderzoekers van anti-virusbedrijf Trend Micro aantroffen heeft het ook voorzien op wachtwoorden voor RDP, VNC en PuTTY. Dit zijn applicaties waarmee er op afstand op systemen kan worden ingelogd.

Net als vorige versies verspreidt ook deze versie zich via e-mailbijlagen. De e-mails bevatten zogenaamd informatie over belastingvoordelen. De meegestuurde Excel-spreadsheet is echter van een kwaadaardige macro voorzien. Zodra de gebruiker deze macro inschakelt wordt Trickbot gedownload en geïnstalleerd. Volgens de onderzoekers kunnen gebruikers zich eenvoudig tegen de malware beschermen door geen ongevraagde bijlagen te openen.

Image

Reacties (9)
13-02-2019, 15:58 door Anoniem
Kan dat ook bij een volledig gepatched systeem?
13-02-2019, 16:16 door Anoniem
RDP gaat ook nooit weg hé. Gemakzucht.
13-02-2019, 21:08 door Bitwiper
Door Anoniem: Kan dat ook bij een volledig gepatched systeem?
Ja. Dit soort malware maakt geen gebruik van kwetsbaarheden waar patches voor bestaan, maar van social engineering waarmee wordt geprobeerd gebruikers over te halen om het uitvoeren van macro's toe te staan.

De malware die dan gedownload wordt kan "ongestraft" toetsaanslagen in andere applicaties monitoren omdat die functionaliteit standaard is ingebouwd in Windows, en nooit is verwijderd omdat ook legitieme software gebruik maakt van deze functionaliteit (denk bijv. aan software die reageert op "hot keys" om gewenste -meestal configureerbare- handelingen uit te voeren).

Ook is het, bij de meeste actuele malware, niet zo dat je volledig beschermd bent als je geen adminrechten gebruikte op het moment dat je de betreffende malware startte (de kans op permanente schade aan je systeem, zoals het blokkeren van de download van antivirus-updates of wijzigen van firewall-instellingen, is natuurlijk wel kleiner als je geen admin rechten gebruikt). M.a.w. dit soort malware heeft er meestal genoeg aan om te mogen wat jij mag (en heeft dus geen privilege escalation en/of UAC exploit nodig om haar "werk" te kunnen doen, waaronder het naar criminelen sturen van afgekeken logingegevens).
13-02-2019, 21:48 door Anoniem
Wanneer worden mensen eens *NIET* gehacked als dat al jaren zo is, dan hang ik de vlag buiten.
14-02-2019, 09:04 door Anoniem
Door Anoniem: RDP gaat ook nooit weg hé. Gemakzucht.

Net als SSH, gemakzucht
14-02-2019, 10:48 door nva
Door Anoniem:
Door Anoniem: RDP gaat ook nooit weg hé. Gemakzucht.

Net als SSH, gemakzucht

Deze protocollen zijn geen gemakzucht, maar zijn essentieel voor het uitvoeren van dagelijkse beheertaken. Zonder deze protocollen zou dat niet mogelijk zijn. Als je tevens versies gebruikt die up-to-date zijn heb je daar geen beveiligingsprobleem en is de kans op inbraak door het protocol zelf minimaal. Het is het gemakzucht of de onkunde van de beheerders die de protocollen niet goed beveiligen en niet filteren op basis van toegang op een IP adres / subnet of een manier van VPN vereisen alvoren ze bij de servers kunnen via deze protocollen of een gemakkelijk standaard wachtwoord gebruiken of 1 beheerderswachtwoord voor alle accounts gebruiken.
14-02-2019, 12:09 door Anoniem
Door Anoniem: RDP gaat ook nooit weg hé. Gemakzucht.

Wat is volgens jou een goed alternatief dan?
14-02-2019, 17:35 door Anoniem
Door Anoniem:
Door Anoniem: RDP gaat ook nooit weg hé. Gemakzucht.

Wat is volgens jou een goed alternatief dan?

Virtual Private Netwerk met een beter wachtwoord mgmt systeem of gewoon keyfiles met een OTP 2way auth. token.
17-02-2019, 19:32 door Anoniem
Door Anoniem:
Door Anoniem: RDP gaat ook nooit weg hé. Gemakzucht.

Wat is volgens jou een goed alternatief dan?

In elk geval geen RDP aan de buitenkant. SSH is veilig te maken zodat je dat wel aan de buitenkant kunt laten luisteren, RDP niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.