image

Malware infecteert 35.000 computers via besmette usb-sticks

donderdag 23 april 2020, 16:38 door Redactie, 9 reacties

Onderzoekers hebben een botnet ontdekt dat uit zeker 35.000 geïnfecteerde computers bestaat en voor zover bekend zich alleen via besmette usb-sticks verspreidde. De besmette computers werden gebruikt voor het delven van de cryptovaluta Monero, zo meldt antivirusbedrijf ESET.

Opmerkelijk aan het "VictoryGate" botnet, zoals de onderzoekers het noemen, is dat de enige verspreidingsmethode besmette usb-sticks lijken te zijn. De malware wacht op besmette computers totdat er een usb-stick wordt aangesloten. Vervolgens worden alle bestanden op de usb-stick naar een verborgen directory verplaatst en vervangen door uitvoerbare bestanden die dezelfde namen als de originele bestanden hebben.

Zodra de besmette usb-stick op een schone computer wordt aangesloten en de gebruiker opent één van de uitvoerbare bestanden, dan wordt zowel het originele bestand in de verborgen directory geladen als de malware. Die downloadt vervolgens aanvullende malware, waaronder scripts die de computer Monero laten delven. De cryptominer gebruikt de volledige rekenkracht van de computer waardoor die zeer langzaam wordt. Tevens wacht de malware totdat er nieuwe usb-sticks worden aangesloten, zodat ook andere machines kunnen worden besmet.

Onderzoekers van ESET wisten verschillende ongebruikte domeinen te registreren waar besmette computers mee verbinding maken. Deze domeinen stonden in de code van de malware vermeld, maar waren niet door de malwareschrijver geregistreerd. Zodoende zag het antivirusbedrijf dat het botnet uit zeker 35.000 computers bestaat, die zich voornamelijk in Peru (90 procent) bevinden.

Tevens bleek dat de aansturing van het botnet via subdomeinen bij de dynamische dns-provider No-IP plaatsvond. Deze domeinen zijn door de provider uit de lucht gehaald, waardoor de botnetbeheerder het botnet geen nieuwe instructies kan geven en nieuw geïnfecteerde computers geen aanvullende malware zullen downloaden. De al besmette computers blijven echter gewoon Monero delven.

Image

Reacties (9)
23-04-2020, 16:42 door spatieman
moet toch eigenlijk een belletje gaan rinkelen als ALLE bestanden even groot zijn.
23-04-2020, 17:18 door Anoniem
Door spatieman: moet toch eigenlijk een belletje gaan rinkelen als ALLE bestanden even groot zijn.
In het voorbeeld zie ook extensies. Standaard doet windows dat NIET. Alleen naam en icoontje tonen..... dan zie je niet dat alles even groot is. Dus dit voorbeeld is een niet standaard weergave in Windows.

TheYOSH
23-04-2020, 18:32 door Remmilou
Door Anoniem:
Door spatieman: moet toch eigenlijk een belletje gaan rinkelen als ALLE bestanden even groot zijn.
In het voorbeeld zie ook extensies. Standaard doet windows dat NIET. Alleen naam en icoontje tonen..... dan zie je niet dat alles even groot is. Dus dit voorbeeld is een niet standaard weergave in Windows.

TheYOSH
(File)type = Application (op de infected drive). De "extensies" zijn dus geen extensies, maar de naam is gewijzigd. De echte extensie zal w.s. .exe zijn.
Dat is nou net de pest met die standaard instelling. Weergeven van extensies aanzetten en je ziet beter als er wat aan de hand is.
23-04-2020, 18:39 door karma4 - Bijgewerkt: 23-04-2020, 18:41
Door Remmilou: (File)type = Application (op de infected drive). De "extensies" zijn dus geen extensies, maar de naam is gewijzigd. De echte extensie zal w.s. .exe zijn.
Dat is nou net de pest met die standaard instelling. Weergeven van extensies aanzetten en je ziet beter als er wat aan de hand is.
Daar waren (en zijn?) de gebruikers fel op tegen het moet een incoontje zijn en simpel klik klik. Kijk eens op je smartphone..
Peru lijkt een Adidas netwerk te hebben. Oude tijden herleven.
24-04-2020, 10:31 door Remmilou
Door karma4:
Door Remmilou: (File)type = Application (op de infected drive). De "extensies" zijn dus geen extensies, maar de naam is gewijzigd. De echte extensie zal w.s. .exe zijn.
Dat is nou net de pest met die standaard instelling. Weergeven van extensies aanzetten en je ziet beter als er wat aan de hand is.
Daar waren (en zijn?) de gebruikers fel op tegen het moet een incoontje zijn en simpel klik klik.
Ik weet het ja. Het eerste wat ik doe op een verse Windows installatie (voor zover ik die nog gebruik en dat is niet zo veel) is juist die extensies aan zetten. Maar als ik het voor een ander inricht, moet ik dat inderdaad bijna altijd weglaten. Wat ik ook beweer over controle...
Kijk eens op je smartphone..
Peru lijkt een Adidas netwerk te hebben. Oude tijden herleven.
??? die ken ik niet. Zal eens kijken wat je bedoelt.
24-04-2020, 11:37 door Anoniem
Door Anoniem:
Door spatieman: moet toch eigenlijk een belletje gaan rinkelen als ALLE bestanden even groot zijn.
In het voorbeeld zie ook extensies. Standaard doet windows dat NIET. Alleen naam en icoontje tonen..... dan zie je niet dat alles even groot is. Dus dit voorbeeld is een niet standaard weergave in Windows.
Lijstweergave is toch al niet de standaard weergave, standaard zie je alleen iconen en namen, geen date,type en size.
Tuurlijk zet je dat meteen op lijstweergave maar doet iedereen dat?
25-04-2020, 12:38 door Anoniem
Door karma4:Daar waren (en zijn?) de gebruikers fel op tegen het moet een incoontje zijn en simpel klik klik. Kijk eens op je smartphone. Peru lijkt een Adidas netwerk te hebben. Oude tijden herleven.
Maar toch gek dat als alle bestanden .exe-bestanden zijn, maar hernoemd zijn naar .pdf, .bmp etc., dat het binnen Windows nog steeds mogelijk is om met een dubbelklik zo'n bestand uitvoerbaar te houden en te starten? Je kunt dus doodeenvoudig, door een extensie te veranderen, een uitvoerbaar bestand letterlijk vermommen als iets anders.

Lijkt me een serieuze veiligheidsissue én een fout in het ontwerp van Windows. Eén die simpel is op te lossen, maar ondanks dát nooit aandacht aan is gegeven.
25-04-2020, 13:32 door Anoniem
Door spatieman: moet toch eigenlijk een belletje gaan rinkelen als ALLE bestanden even groot zijn.
Windows zou een flinke bel moeten laten rinkelen als een executable op een USB stick gestart wordt.
28-04-2020, 14:16 door souplost
Walmare. Never ending story...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.