image

Via ARJ-archief verspreide malware steelt wachtwoorden uit 39 browsers

dinsdag 19 november 2019, 10:42 door Redactie, 9 reacties
Laatst bijgewerkt: 20-11-2019, 09:19

Onderzoekers hebben malware ontdekt die via ARJ-bestanden wordt verspreid en wachtwoorden uit meer dan 70 programma's steelt, waaronder 39 verschillende browsers. Cybercriminelen versturen het ARJ-bestand via e-mail naar hun doelwitten. Het ARJ (Archived by Robert Jung)-formaat was in de jaren 1990 een populair formaat om bestanden op zowel DOS als Windows in- en uit te pakken.

"We zien vaak dat aanvallers oude archiveringsformaten gebruiken, in de hoop om oude e-mail security gateways te omzeilen", zegt Holger Unterbrink van Cisco. Het ARJ-bestand bevat weer een EXE-bestand dat de uiteindelijke malware installeert. Het gaat om de Agent Tesla-malware die ontwikkeld is om wachtwoorden van besmette systemen te stelen.

De malware kan uit meer dan 70 programma's wachtwoorden stelen. Het gaat onder andere om 39 browsers zoals Chrome en Firefox, e-mailclients zoals Outlook en Thunderbird, ssh/sftp/ftp-clients, chatprogramma's en verschillende Windowslocaties. Gestolen inloggegevens worden vervolgens via e-mail naar de aanvaller gestuurd.

Image

Reacties (9)
19-11-2019, 10:48 door Anoniem
Wat, het headline-feature van deze malware is dat het "ingepakt zit in een ARJ-bestand"?

Want niemand weet meer dat dat ook nog bestaat? Ik voel me echt oud nu.
19-11-2019, 10:56 door Anoniem
Je moet dus eerst de ARJ uitpakken en daarna de zich daarin bevindende .exe starten?

Hoe dom ben je dan?
19-11-2019, 11:58 door Anoniem
Door Anoniem: Je moet dus eerst de ARJ uitpakken en daarna de zich daarin bevindende .exe starten?

Hoe dom ben je dan?

Gezien dit bericht https://www.security.nl/posting/631991/Amerikaanse+staat+Louisiana+getroffen+door+ransomware heel veel mensen.....
19-11-2019, 12:26 door Anoniem
Door Anoniem: Je moet dus eerst de ARJ uitpakken en daarna de zich daarin bevindende .exe starten?

Hoe dom ben je dan?
Wel eens met gebruikers gewerkt?
19-11-2019, 16:19 door spatieman
Door Anoniem: Je moet dus eerst de ARJ uitpakken en daarna de zich daarin bevindende .exe starten?

Hoe dom ben je dan?
je moest eens weten hoe klikgeil de mensen zijn.
19-11-2019, 23:29 door Anoniem
Door spatieman:
Door Anoniem: Je moet dus eerst de ARJ uitpakken en daarna de zich daarin bevindende .exe starten?

Hoe dom ben je dan?
je moest eens weten hoe klikgeil de mensen zijn.

Ja ook bij browsers, elk tabblad uitloggen op de webpagina en daarna op bestand, tabblad sluiten klikken :')
20-11-2019, 08:35 door Korund - Bijgewerkt: 20-11-2019, 08:35
Je moet dus eerst de ARJ uitpakken en daarna de zich daarin bevindende .exe starten?

Je moet zelfs speciaal software gaan installeren om het ARJ-bestandte kunnen uitpakken!
21-11-2019, 17:08 door Anoniem
Door Korund:
Je moet dus eerst de ARJ uitpakken en daarna de zich daarin bevindende .exe starten?

Je moet zelfs speciaal software gaan installeren om het ARJ-bestandte kunnen uitpakken!

Met WinRar kun je ook ARJ bestanden uitpakken. Veel mensen hebben WinRar al, gewoon omdat het verdraaid handige software is voor desktop-pc of laptop. Blijft wel stom om een ARJ bestand in de bijlage van een e-mail uit te pakken, helemaal als de afzender onbekend is.
24-11-2019, 13:46 door Anoniem
Door Korund:
Je moet dus eerst de ARJ uitpakken en daarna de zich daarin bevindende .exe starten?
Je moet zelfs speciaal software gaan installeren om het ARJ-bestandte kunnen uitpakken!
Windows geeft je daar heel hulpvaardig een dialoogvenster voor, "zoek op de interwebse naar apps om iets met dit bestand te doen". Dat uitzetten vereist een aanpassing in de registry.

Op die fiets kun je natuurlijk je eigen "extensies" verzinnen en daar "uitpaksoftware" voor verzinnen die dan weer vooral malware binnenhaalt. Verbaas me eigenlijk dat we dat nog niet eerder tegengekomen zijn. Wel was er iets met "video codecs installeren" wat een vergelijkbaar effect had.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.