image

Malware met dubbele bestandsextensie besmet duizenden pc's

vrijdag 1 maart 2019, 13:37 door Redactie, 13 reacties

Een nieuwe versie van de Qakbot-bankmalware heeft wereldwijd duizenden computers besmet, waaronder die van cybersecuritybedrijven. Dat meldt securitybedrijf Varonis. De eerste versie van Qakbot dateert van 2009. Sindsdien zijn er allerlei nieuwe varianten van de malware verschenen.

De malware is ontwikkeld om gegevens voor internetbankieren te stelen en toetsaanslagen op te slaan. De nu ontdekte versie wordt verspreidt via e-mailbijlagen. Het gaat om zip-bestanden met daarin het bestand "REQ_02132019b.doc.vbs". Windows geeft standaard de extensie van bestanden niet weer, waardoor gebruikers kunnen denken dat het om een .doc-bestand gaat. Zodra de gebruiker het .vbs-bestand opent wordt er informatie over het besturingssysteem en aanwezige beveiligingssoftware opgevraagd. Uiteindelijk wordt Qakbot geïnstalleerd.

Varonis vond op een server van de aanvallers een logbestand met activiteiten van de malware en ip-adressen van slachtoffers. Het ging om meer dan 2700 ip-adressen, waarvan ruim 1700 in de Verenigde Staten. Het werkelijke aantal besmette systemen is waarschijnlijk hoger aangezien veel organisaties port address translation gebruiken, wat het interne ip-adres maskeert, aldus het securitybedrijf.

"Van wat we kunnen zien zitten middelgrote ondernemingen en Fortune 500-bedrijven tussen de getroffen bedrijven, alsmede hun serviceproviders. Wat ook een interessant feit is, is dat we grote cybersecurityleveranciers in het overzicht van slachtoffers vonden", zegt Snir Ben Shimol van Varonis tegenover Verdict. Het is onbekend of de infecties bij deze leveranciers onderdeel van onderzoek waren of dat daadwerkelijke productiesystemen zijn getroffen. Varonis heeft de namen van deze bedrijven niet bekendgemaakt.

Reacties (13)
01-03-2019, 14:23 door Anoniem
Zo doorzichtig allemaal, dat iemand hier nog intrapt zou je als techneut zeggen.
Emailbijlagen, emailbijlagen, altijd weer die emailbijlagen.
Email en internetbankieren verdraagt elkaar niet altijd goed.
Die hoor je eigenlijk heel drastisch van elkaar te scheiden om eventuele problemen te voorkomen.

Bijv. een PC voor alleen maar internetbankieren die je ook isoleert van de rest van het thuisnetwerk
(kan simpel met een extra NAT-router).
01-03-2019, 14:53 door Anoniem
Dubbele bestandsextensies?!?

Wanneer gaat M$ dat probleem eens oplossen.

Maar ja, als je grote volksmassa's hebt, die het nog niet zien,
zelfs als het open en helder in hun gezicht wordt getoond.
Dan hoef je ook geen moeite te doen, toch?

Onnozel geborenen en simpel gewiegden zijn we immers allemaal geweest.
Maar wat later komt kan dan wel het verschil maken.

Let op uw extensies, bijvoorbeeld "rar". Is het wel de laatste versie?
01-03-2019, 14:53 door Anoniem
Doet me denken aan dat I love you vbs en kliken maar die gebruikers. En dat netwerk zwaar overbelast. was leuk met die laptops NOT

To disable WSH for all users of a particular computer, create this entry: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings\Enabled
01-03-2019, 18:19 door Anoniem
Bijv. een PC voor alleen maar internetbankieren die je ook isoleert van de rest van het thuisnetwerk
(kan simpel met een extra NAT-router).
Ik gebruik deze opstelling, maar het kan eenvoudiger door gewoon een HD met schakelaar, moet je wel geen bios
rommel krijgen.

Maar houd er wel rekening mee dat ze je voor paranoïde verklaren.
01-03-2019, 20:37 door [Account Verwijderd]
Windows geeft standaard de extensie van bestanden niet weer, waardoor gebruikers kunnen denken dat het om een .doc-bestand gaat.

ONVOORSTELBAAR! Dat dit A.D. 2019 nog steeds niet is opgelost door Microsoft!
02-03-2019, 07:44 door Anoniem
Ik heb in Windows 10 de bestandsextensies weergeven aangezet. Gewoon voor de zekerheid. Maar sowieso ben ik altijd terughoudend met bestanden uitvoeren. En bijlages in mails open ik al helemaal niet snel. Zeker niet van onbekende bron.
02-03-2019, 11:22 door Tha Cleaner
Door Bomb No. 20:
Windows geeft standaard de extensie van bestanden niet weer, waardoor gebruikers kunnen denken dat het om een .doc-bestand gaat.

ONVOORSTELBAAR! Dat dit A.D. 2019 nog steeds niet is opgelost door Microsoft!
Misschien met een redenen?

Als eerste zegt een gebruiker een extensie eigenlijk helemaal niets. Die kijken bijna altijd naar het icoontje. Dat daar iets van een docx.vbs staat zal hun echt helemaal niets uitmaken. Icoontje klopt gewoon dus ik open de file gewoon.
Daarnaast van verzin je als "hacker" toch gewoon extra oplossing voor? Gewoon iets van myfile.docx<200 spaties>.vbs En je extensie laten zien oplossing, is omzeilt met een paar seconden.
Daar naast, als die werkelijk zo veel zo oplossen, waarom beid eigenlijk dan geen enkele beveiligingstool dit standaard aan om dit aan te zetten?

Het lost dus niet zoveel op en is vrij gemakkelijk te omzeilen en kan kan er voor zorgen dat gebruikers bij een rename de extensie verliezen en dus het bestand niet meer kunnen openen. Die kans is veel groter, dat dat je oplossing aanbied.

En als je het wilt, kan je het gewoon toch aanzetten? Vrijheid van keuzes is dat toch?
02-03-2019, 16:36 door A.J. - Bijgewerkt: 02-03-2019, 16:37
De nu ontdekte versie wordt verspreidt via e-mailbijlagen.
Als het verspreidt wordt via e-mailbijlagen is de extensie in de e-mail toch gewoon zichtbaar? Waarom Anoniem op 14:53 dan zo vreemd uit de hoek komt is mij een volstrekt raadsel.
03-03-2019, 21:48 door [Account Verwijderd]
Door Tha Cleaner:
Door Bomb No. 20:
Windows geeft standaard de extensie van bestanden niet weer, waardoor gebruikers kunnen denken dat het om een .doc-bestand gaat.

ONVOORSTELBAAR! Dat dit A.D. 2019 nog steeds niet is opgelost door Microsoft!
Misschien met een redenen?

Als eerste zegt een gebruiker een extensie eigenlijk helemaal niets. Die kijken bijna altijd naar het icoontje. Dat daar iets van een docx.vbs staat zal hun echt helemaal niets uitmaken. Icoontje klopt gewoon dus ik open de file gewoon.
Daarnaast van verzin je als "hacker" toch gewoon extra oplossing voor? Gewoon iets van myfile.docx<200 spaties>.vbs En je extensie laten zien oplossing, is omzeilt met een paar seconden.
Daar naast, als die werkelijk zo veel zo oplossen, waarom beid eigenlijk dan geen enkele beveiligingstool dit standaard aan om dit aan te zetten?

Het lost dus niet zoveel op en is vrij gemakkelijk te omzeilen en kan kan er voor zorgen dat gebruikers bij een rename de extensie verliezen en dus het bestand niet meer kunnen openen. Die kans is veel groter, dat dat je oplossing aanbied.

En als je het wilt, kan je het gewoon toch aanzetten? Vrijheid van keuzes is dat toch?

Ik ben het met je eens. Maar niet m.b.t. je visie op "gebruikers" Je schildert ze toch algemeen een beetje als Dumbo's die beter dom kunnen blijven (want ze raken maar in de war van die extra toevoegingen) en dat is niet fair.
Niet tonen van Extensies zou opt-out moeten zijn. Dus extensies standaard zichtbaar en naar keuze onzichtbaar. Niet andersom zoals nu.
Er iets dieper op ingaande vraag ik me af of de gebruiker ooit heeft laten blijken - door feedback* - liever die extensies niet te zien, dan wèl m.b.t. de huidige situatie in Linux/Mac/Windows.

(*) In de dertig jaar dat ik achter een keyboard zit kan ik me niet herinneren dat Feedback ooit serieus is genomen. En wel door geen van de door mij in de vorige alinea genoemden.
04-03-2019, 11:46 door Anoniem
Door Brainpresser:
Ik ben het met je eens. Maar niet m.b.t. je visie op "gebruikers" Je schildert ze toch algemeen een beetje als Dumbo's die beter dom kunnen blijven (want ze raken maar in de war van die extra toevoegingen) en dat is niet fair.
Maar het is de realiteit.

Niet tonen van Extensies zou opt-out moeten zijn. Dus extensies standaard zichtbaar en naar keuze onzichtbaar. Niet andersom zoals nu.
Dat is een mening zoals een techneut er naar zal kijken. Als je het vanuit gebruikers perspectief bekijkt is het toch iets anders. Extensie is nu niet echt iets wat men iets zegt. Afgezien dat ze misschien dat na een rename ze de bestanden niet meer kunnen openen.
04-03-2019, 14:39 door Anoniem
Zoals al eerder boven vermeld in de reacties, bestands extensies zeggen een gewone gebruiker h-e-l-e-m-a-a-l niks.

En ja, de gewone gebruiker is helaas een digitale analfabeet. Vaak is een simpel 'knippen-plakken' al enorm ingewikkeld.
Ik ken mensen die, na meerdere uitleg sessies, nog steeds een bestand via een appliactie van de ene map naar de andere overhevelen.
Niks geen explorer met knippen/plakken of copy/paste, gewoon applicatie openen, bestand openen en opslaan in ander mapje.
Dat daardoor een enorme brei onstaat van diverse files is een bijproduct.
En dit waren mensen met een gedegen opleiding.

Wat er ook standaard is ingesteld in het OS, het gaat voor een grote groep domweg nooit werken. De mens is nu eenmaal de zwakste schakel in het hele IT proces.
04-03-2019, 18:25 door [Account Verwijderd]
Bestandsextensies:

Citaat anoniem 14:39 uur:
Wat er ook standaard is ingesteld in het OS, het gaat voor een grote groep domweg nooit werken. De mens is nu eenmaal de zwakste schakel in het hele IT proces.

Perfecte oplossing is dan: Schakel de mens uit. Dat impliceer je zwart/wit neem ik aan? Kom nu toch zeg! Ik word onpasselijke van dergelijke minachting. Vergelijking: Omdat het merendeel van de automobilisten niet weet wat de waarschuwingsdashboardlampjes betekenen moeten die lampjes dus maar helemaal uitgeschakeld worden af fabriek/default?
Als je zo'n minderwaardige mening hebt over je klanten moet je een andere job zoeken is mijn mening; is de IT sector niets voor je.
Dat de meeste computergebruikers digibeet zijn... ha dat weet ik ook wel, maar ik zink niet zo diep dat ik ga stellen dat enige vorm van didactiek hoe moeilijk of teleurstellend het soms tot vaak ook kan zijn, mij de negatieve overtuiging aanspreekt dat daarom iedereen die met een muis en keybord piepelt en klooit een stupido is die niets valt aan te leren.
Slappe houding als je dat wel doet. Met collega's die er zo over denken wil ik in geen geval door een deur, en ik ben blij dat ik tot nu toe nog niemand als collega heb gehad die er zo'n nihilistische mening over de mens in dit opzicht op na houdt.
06-03-2019, 08:20 door Anoniem
Door Brainpresser:Perfecte oplossing is dan: Schakel de mens uit. Dat impliceer je zwart/wit neem ik aan?
Volgens mij zeg ik dat nergens.

Echter je kan de meeste mooie technische oplossingen bedenken, maar de mens kan dit met 1 simpele dubbel klik volledig omzeep helpen.
Of het wordt zo complex dat ze het niet meer snappen.

Het probleem is dat de meeste er vanuit gaan dat gebruikers weten wat ze doen, en dat is tegenwoordig verdomde lastig voor een gebruiker om te zien of iets goed of kwaadaardig is.

Vergelijking: Omdat het merendeel van de automobilisten niet weet wat de waarschuwingsdashboardlampjes betekenen moeten die lampjes dus maar helemaal uitgeschakeld worden af fabriek/default?

Als je zo'n minderwaardige mening hebt over je klanten moet je een andere job zoeken is mijn mening; is de IT sector niets voor je.
Dat de meeste computergebruikers digibeet zijn... ha dat weet ik ook wel, maar ik zink niet zo diep dat ik ga stellen dat enige vorm van didactiek hoe moeilijk of teleurstellend het soms tot vaak ook kan zijn, mij de negatieve overtuiging aanspreekt dat daarom iedereen die met een muis en keybord piepelt en klooit een stupido is die niets valt aan te leren.
Slappe houding als je dat wel doet. Met collega's die er zo over denken wil ik in geen geval door een deur, en ik ben blij dat ik tot nu toe nog niemand als collega heb gehad die er zo'n nihilistische mening over de mens in dit opzicht op na houdt.
Ik heb juist een heel hoop ervaringen met gebruikers.. .Zowel hele goede goede maar ook een heel hoop gebruikers die echt helemaal niets snappen van een computer.

Veel raken in paniek als het icoontje er anders uit ziet van hun applicatie, of zelfs al als het icontje een andere plekt op hun bureaublad staat. En dan heb ik het echt niet over 1 gebruiker maar over heel veel.

Ik heb gebruikers die als ze hun data kwijt zijn (snel koppeling naar een bepaalde folder op het netwerk) kwaad worden. Als dan de vraag komt, of hij nog weet waar de locatie was, of ongeveer was. Zijn antwoord: Jullie moeten dat toch weten. (met 15K aan gebruikers is dat best lastig voor de service desk) en wordt dan heel kwaad dat de SD dit niet weet.

Of dat ze de monitor uitzetten ipv de computer. En dan hoog en laag bewaren dat de computer exact de zelfde foutmelding heeft nadat ze de computer uitgezet hebben.

Als ik een migratie handleiding maak, met plaatjes voor iedere stap, dan krijg je de klacht dat 40 stappen echt te veel is, en de verkorte handleiding te complex. Dus doen ze het maar niet. En worden daarna kwaad als hun oude systeem niet meer werkt. Ondanks alle eerdere waarschuwingen dat ze moeten migreren waarbij zelf onsite support mogelijk is om ze te helpen.

Ik weet helaas heel goed hoe gebruikers zijn, en hoe je ze moet behandelen, maar ook hoe ze reageren of hoe ze denken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.