Driver-updater installeert malware na supply-chain-aanval
Een programma dat gebruikers helpt bij het updaten van hun drivers heeft malware op systemen geïnstalleerd nadat aanvallers toegang tot de updateserver kregen. Het gaat om het programma DriveTheLife, maar ook andere soortgelijke applicaties die op dezelfde infrastructuur draaien zijn getroffen.
Welke applicaties dit zijn laat antivirusbedrijf Bitdefender niet weten. De virusbestrijder beschouwt DriveTheLife als een "potentieel ongewenste applicatie". Het gaat dan om software die met andere programma's is gebundeld, toolbars installeert en pop-ups of advertenties toont. Een onderdeel van DriveTheLife dat normaliter updates van een legitiem domein downloadt werd eind vorig jaar gemanipuleerd zodat het malware vanaf een domein van de aanvallers downloadde, aldus Bitdefender in een rapport. Dergelijke aanvallen worden "supply chain attacks" genoemd en kunnen zeer effectief voor aanvallers zijn. NotPetya is een bekend voorbeeld van malware die zich via een supply-chain-aanval verspreidde.
De malware die zich via DriveTheLife verspreidde werd de afgelopen maanden met allerlei modules uitgebreid om zich verder binnen het netwerk te verspreiden. Zo maakt de malware gebruik van de EternalBlue-exploit van de NSA om systemen via een oud Windows-lek te infecteren, alsmede een explolit voor Microsoft SQL Server. Ook probeert de malware systemen in het lokale netwerk via een verzameling van zwakke en veelvoorkomende wachtwoorden en wachtwoordsteler Mimikatz te besmetten.
De malware installeert daarnaast een cryptominer die de rekenkracht van het systeem gebruikt om cryptovaluta te delven. Om niet te worden opgemerkt stopt de cryptominer wanneer de gebruiker een videogame speelt. Het zou gebruikers opvallen dat de computer tijdens het spelen trager werkt, wat tot de ontdekking van de cryptominer kan leiden. Volgens onderzoeker Liviu Arsene is het een interessante eigenschap van de cryptominer om met het spelen van games rekening te houden. Infecties zijn wereldwijd waargenomen, maar de meeste besmettingen werden in India aangetroffen.
Ik gebruik voor het updaten van mijn PC's PatchMyPC (applicaties geen drivers). Ik heb altijd wel een beetje onbestemd gevoel bij dit soort applicaties - je geeft ze tenslotte admin rechten -, maar ik ga ervan uit dat offline backups en een updated antivirus een goede remedie tegen ongelukken is. Maar op de voortbrengingsomgeving en de severs van PatchMyPc heb je natuurlijk geen controle. Maar dar geldt ook voor de meest gerenommeerde software leveranciers.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!