Macro-malware steelt RDP-, VNC- en PuTTY-wachtwoorden
Er is een nieuwe variant van de Trickbot Trojan ontdekt die wachtwoorden van applicaties steelt waarmee het mogelijk is om op afstand op systemen in te loggen. Trickbot is oorspronkelijk een banking Trojan die als doel heeft het stelen van inloggegevens voor internetbankieren.
Vorig jaar werd de malware van een "password grabber" voorzien die wachtwoorden uit Microsoft Outlook, Filezilla, WinSCP, Google Chrome, Mozilla Firefox, Internet Explorer en Microsoft Edge buitmaakt. De nieuwste variant die onderzoekers van anti-virusbedrijf Trend Micro aantroffen heeft het ook voorzien op wachtwoorden voor RDP, VNC en PuTTY. Dit zijn applicaties waarmee er op afstand op systemen kan worden ingelogd.
Net als vorige versies verspreidt ook deze versie zich via e-mailbijlagen. De e-mails bevatten zogenaamd informatie over belastingvoordelen. De meegestuurde Excel-spreadsheet is echter van een kwaadaardige macro voorzien. Zodra de gebruiker deze macro inschakelt wordt Trickbot gedownload en geïnstalleerd. Volgens de onderzoekers kunnen gebruikers zich eenvoudig tegen de malware beschermen door geen ongevraagde bijlagen te openen.
De malware die dan gedownload wordt kan "ongestraft" toetsaanslagen in andere applicaties monitoren omdat die functionaliteit standaard is ingebouwd in Windows, en nooit is verwijderd omdat ook legitieme software gebruik maakt van deze functionaliteit (denk bijv. aan software die reageert op "hot keys" om gewenste -meestal configureerbare- handelingen uit te voeren).
Ook is het, bij de meeste actuele malware, niet zo dat je volledig beschermd bent als je geen adminrechten gebruikte op het moment dat je de betreffende malware startte (de kans op permanente schade aan je systeem, zoals het blokkeren van de download van antivirus-updates of wijzigen van firewall-instellingen, is natuurlijk wel kleiner als je geen admin rechten gebruikt). M.a.w. dit soort malware heeft er meestal genoeg aan om te mogen wat jij mag (en heeft dus geen privilege escalation en/of UAC exploit nodig om haar "werk" te kunnen doen, waaronder het naar criminelen sturen van afgekeken logingegevens).
Net als SSH, gemakzucht
Net als SSH, gemakzucht
Deze protocollen zijn geen gemakzucht, maar zijn essentieel voor het uitvoeren van dagelijkse beheertaken. Zonder deze protocollen zou dat niet mogelijk zijn. Als je tevens versies gebruikt die up-to-date zijn heb je daar geen beveiligingsprobleem en is de kans op inbraak door het protocol zelf minimaal. Het is het gemakzucht of de onkunde van de beheerders die de protocollen niet goed beveiligen en niet filteren op basis van toegang op een IP adres / subnet of een manier van VPN vereisen alvoren ze bij de servers kunnen via deze protocollen of een gemakkelijk standaard wachtwoord gebruiken of 1 beheerderswachtwoord voor alle accounts gebruiken.
Wat is volgens jou een goed alternatief dan?
Wat is volgens jou een goed alternatief dan?
Virtual Private Netwerk met een beter wachtwoord mgmt systeem of gewoon keyfiles met een OTP 2way auth. token.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
