image

Driver-updater installeert malware na supply-chain-aanval

woensdag 28 augustus 2019, 10:23 door Redactie, 3 reacties

Een programma dat gebruikers helpt bij het updaten van hun drivers heeft malware op systemen geïnstalleerd nadat aanvallers toegang tot de updateserver kregen. Het gaat om het programma DriveTheLife, maar ook andere soortgelijke applicaties die op dezelfde infrastructuur draaien zijn getroffen.

Welke applicaties dit zijn laat antivirusbedrijf Bitdefender niet weten. De virusbestrijder beschouwt DriveTheLife als een "potentieel ongewenste applicatie". Het gaat dan om software die met andere programma's is gebundeld, toolbars installeert en pop-ups of advertenties toont. Een onderdeel van DriveTheLife dat normaliter updates van een legitiem domein downloadt werd eind vorig jaar gemanipuleerd zodat het malware vanaf een domein van de aanvallers downloadde, aldus Bitdefender in een rapport. Dergelijke aanvallen worden "supply chain attacks" genoemd en kunnen zeer effectief voor aanvallers zijn. NotPetya is een bekend voorbeeld van malware die zich via een supply-chain-aanval verspreidde.

De malware die zich via DriveTheLife verspreidde werd de afgelopen maanden met allerlei modules uitgebreid om zich verder binnen het netwerk te verspreiden. Zo maakt de malware gebruik van de EternalBlue-exploit van de NSA om systemen via een oud Windows-lek te infecteren, alsmede een explolit voor Microsoft SQL Server. Ook probeert de malware systemen in het lokale netwerk via een verzameling van zwakke en veelvoorkomende wachtwoorden en wachtwoordsteler Mimikatz te besmetten.

De malware installeert daarnaast een cryptominer die de rekenkracht van het systeem gebruikt om cryptovaluta te delven. Om niet te worden opgemerkt stopt de cryptominer wanneer de gebruiker een videogame speelt. Het zou gebruikers opvallen dat de computer tijdens het spelen trager werkt, wat tot de ontdekking van de cryptominer kan leiden. Volgens onderzoeker Liviu Arsene is het een interessante eigenschap van de cryptominer om met het spelen van games rekening te houden. Infecties zijn wereldwijd waargenomen, maar de meeste besmettingen werden in India aangetroffen.

Reacties (3)
28-08-2019, 10:24 door Anoniem
Daarom zeg ik dus altijd blijf met de vingers van dit soort nutteloze software af, dit krijg je er dus van. Rotzooi op uw pc niets meer of minder.
28-08-2019, 12:36 door Anoniem
Door Anoniem: Daarom zeg ik dus altijd blijf met de vingers van dit soort nutteloze software af, dit krijg je er dus van. Rotzooi op uw pc niets meer of minder.
Meeste mensen leren het niet en klikken gewoon op accepteren > next > next > next > install met uitgaande dat alle standaard settings gewoon goed staan. We zouden eigelijk de bedrijven van de software eerder op de vingers moeten tikken, want gebruikers waarschuwen heeft geen enkele zin.
28-08-2019, 13:30 door Anoniem
Door Anoniem: Daarom zeg ik dus altijd blijf met de vingers van dit soort nutteloze software af, dit krijg je er dus van. Rotzooi op uw pc niets meer of minder.

Ik gebruik voor het updaten van mijn PC's PatchMyPC (applicaties geen drivers). Ik heb altijd wel een beetje onbestemd gevoel bij dit soort applicaties - je geeft ze tenslotte admin rechten -, maar ik ga ervan uit dat offline backups en een updated antivirus een goede remedie tegen ongelukken is. Maar op de voortbrengingsomgeving en de severs van PatchMyPc heb je natuurlijk geen controle. Maar dar geldt ook voor de meest gerenommeerde software leveranciers.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.