De FBI heeft vandaag opnieuw een waarschuwing gegeven voor de Hoplight-malware, een Trojaans paard dat volgens de Amerikaanse opsporingsdienst door de Noord-Koreaanse overheid tegen allerlei doelen is ingezet. In april van dit jaar kwam de FBI ook al met een waarschuwing voor Hoplight.

Destijds had de waarschuwing betrekking op negen uitvoerbare bestanden. De nieuwste waarschuwing biedt een analyse van twintig kwaadaardige bestanden. Zestien van deze bestanden zijn proxy-applicaties die het verkeer tussen de malware en aanvallers maskeren. De proxies kunnen via publieke geldige tls-certificaten valse TLS-handshakesessies genereren. Op deze manier worden de netwerkverbindingen met de aanvallers verborgen. De andere bestanden bevatten onder andere een publiek tls-certificaat.

In de waarschuwing over Hoplight geeft de FBI "indicators of compromise" (IOCs). Een IOC is een aanwijzing waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, binnen het netwerk kan worden vastgesteld. Het gaat onder andere om ip-adresssen, whois-data, hashes, bestandsnamen, Yara-rules en anti-virusbenamingen.

Verder doet de FBI aanbevelingen om infecties door malware te voorkomen, zoals het updaten van anti-virussoftware en besturingssysteem, het uitschakelen van bestands- en printerdeling, het beperken van de rechten van gebruikers, het afdwingen van veilige wachtwoorden, voorzichtig zijn met e-mailbijlagen, het inschakelen van een personal firewall, het uitschakelen van onnodige diensten, het monitoren van het browsegedrag van gebruikers, het scannen van alle gedownloade bestanden en voorzichtig zijn in het gebruik van verwijderbare media.