Spionagemalware lokaliseert slachtoffers via locatiedienst Mozilla
Onderzoekers van antivirusbedrijf ESET hebben spionagemalware ontdekt die allerlei gegevens van systemen steelt en slachtoffers via de locatiedienst van Mozilla probeert te lokaliseren (pdf). De groep achter de aanvallen en gebruikte malware wordt Machete genoemd en is al jaren actief.
Bij de laatste aanvallen zou de groep zich op het Venezolaans leger richten. Om slachtoffers te infecteren maakt Machete gebruik van e-mailbijlagen. De e-mails bevatten een LNK-bestand, zip-bestand of een archiefbestand dat zichzelf kan uitpakken. Zodra slachtoffers de bijlage openen wordt er als afleidingsmanoeuvre een vertrouwelijk militair document getoond dat bij een eerdere aanval is buitgemaakt.
In de achtergrond is de malware echter actief. Die kan screenshots maken en toetsaanslagen opslaan, het clipboard benaderen, documenten, back-ups, PGP-sleutels en bestanden voor geografische informatiesystemen stelen, gebruikersprofielen uit verschillende browsers uitlezen en de geolocatie van het slachtoffer bepalen.
De malware verzamelt informatie over wifi-netwerken in de buurt van het slachtoffer en stuurt die naar de Mozilla Location Service. Via deze dienst is het mogelijk om aan de hand van wifi-netwerken, bluetooth-beacons en zendmasten iemands locatie te bepalen. "Het voordeel van de Mozilla Location Service is dat het geolocatie zonder een daadwerkelijk GPS biedt en nauwkeuriger dan andere methodes kan zijn", aldus de onderzoekers.
Wat ook opvalt aan de malware is dat die over een optie voor "fysieke gegevensexfiltratie" beschikt. De malware controleert of aangesloten usb-sticks over een specifieke bestandsnaam beschikken. Wanneer dit het geval is worden gegevens van het systeem naar een verborgen map op de usb-stick gekopieerd. "Dit is een manier om data te stelen in het geval een aanvaller fysieke toegang heeft tot een computer die al met Machete is besmet", voegen de onderzoekers toe.
Volgens ESET zijn er via de malware mogelijk gigabytes aan vertrouwelijke data gestolen. Wie erachter de aanvallen zit is onbekend. Naast Venezuela is de malware ook in Ecuador, Colombia en Nicaragua aangetroffen. Afsluitend laakt de virusbestrijder de aangevallen organisaties, die er niet in zijn geslaagd om het bewustzijn van hun gebruikers te verhogen en security-policies toe te passen zodat medewerkers in de eerste plaats niet in deze aanvallen trappen.
Dit is het gevolg van een feature van Mozilla waarvoor Mozilla geen opt-out biedt. MLS vergaart alle gegevens over WiFi-netwerken, GSM-antennes, Bluetooth-zenders en combineert deze met GPS.
Op de pagina https://location.services.mozilla.com:
Stukje verderop op dezelfde pagina:
En dat klinkt wel goed, opt-out. Klik je op de link naar https://location.services.mozilla.com/optout krijg je het volgende:
Mozilla's client applications do not collect information about WiFi access points whose SSID is hidden or ends with the string "_nomap". If you would like to prevent your WiFi access point from being reported to this service, you can rename your SSID to append "_nomap" to the name (e.g., SSID "MyWirelessNetwork" becomes "MyWirelessNetwork_nomap") or configure your SSID to be hidden.
This approach is used by other companies offering similar services. We have chosen to follow the example established by others, to make sure you do not have to learn about specific ways to opt-out of this service, but can generally signal your desire to do so and have that signal be respected by multiple services.
En daarmee gaat Mozilla m.i. dezelfde richting op als FB en Google. Ongevraagd data vergaren maar geen enkele mogelijkheid bieden om dit te stoppen. Ja, je kunt je SSID een andere naam geven... Wauw. En wie garandeert dan dat je WiFi niet geïdentificeerd en gelokaliseerd wordt? Juist. Dat dus.
My two cents...
Duidelijk. Alles uit de kast voor de "corporational datagrabber' en de eindgebruiker, het product zogezegd,
blijft in de kou staan.
Alles werkt mee aan de surveillance kapitalistische vermarkting. Overheid is ook al jaren een soort bedrijf
en belijdt alleen met de mond wat zij hoort te doen.
Nepotisme en versluiering bouwen voort aan dit soort wereld en wij zijn de "sheople".
En het wordt ondertussen steeds erger. Veel gebeurt buiten beeld van de massa in de hoop,
dat men door kan gaan op de ingeslagen weg van uitbuiting van de 1% tegen de rest.
Veiligheid is meestal gestoeld op "security through obscurity", m.a.w. wat niet weet, wat niet deert.
Je moet jezelf beschermen, niemand anders doet dat anders voor jou.
J.O.
Kijk maar eens hiermee op een willekeurige url: https://www.webtoolhub.com/tn561363-javascript-extractor.aspx
en je ziet dat iedere moderne webbrowser een data mining tracking machine is geworden voor de data grabbing corporations hand in foot met intelligence services. Niets meer en niets minder. Niet iedereen kan en wil terug naar een txt only linux browsertje of zoeken met een tooltje als telescope.
Je eigen non-tracking 100% privacy browser bouwen is ook ondoenlijk, het past niet in het concept van het verdienmodel. Je mag gratis hier zijn als je ons al je data geeft en wij die mogen versjacheren aan de hoogste bieders.
Geef toe, wij als eindgebruikers zijn verne*kt en goed ook. De grootgraaier heeft het makkelijk en lacht zich de b*llen uit de broek. Wise up, you three time losers - tor en tails het enige alternatief ten dele en vol onder vuur liggend. Info vrijheid op Interwebz een waar achterhoedegevecht voor de laatste der Mohikanen, maar een beetje ongelijke strijd.
#sockpuppet
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
