image

Microsoft: contactformulier websites gebruikt voor unieke malware-aanval

zondag 11 april 2021, 08:20 door Redactie, 13 reacties

Criminelen maken op grote schaal gebruik van de contactformulieren van websites om op een unieke wijze malware te verspreiden, zo stelt Microsoft. Volgens het bericht dat de aanvallers via het contactformulier achterlaten heeft de betreffende website zich schuldig gemaakt aan copyrightschending. Als de afbeeldingen in kwestie niet snel worden verwijderd dreigt de afzender met juridische stappen.

De afbeeldingen zijn via een meegestuurde link te bekijken. De link wijst echter naar een Google-pagina die alleen toegankelijk is wanneer de gebruiker via zijn Google-account inlogt. Volgens Microsoft kan het gebruik van een contactformulier met een Google-url die alleen via authenticatie toegankelijk is ervoor zorgen dat beveiligingssoftware het bericht niet als kwaadaardig detecteert.

Zodra de gebruiker op de Google-pagina is ingelogd wordt er automatisch een zip-bestand gedownload dat een js-bestand bevat. Dit bestand, wanneer geopend door het slachtoffer, downloadt de IcedID-malware. Deze malware kan het netwerk van de getroffen organisatie verder verkennen, inloggegevens stelen en aanvullende malware installeren, zoals ransomware.

Op internet zijn vele duizenden reacties te vinden die de aanvallers via het contactformulier van de betreffende website hebben achtergelaten en waarin met juridische stappen wordt gedreigd. Microsoft raadt organisaties aan om hun gebruikers over social engineering-aanvallen als deze voor te lichten.

Image

Reacties (13)
11-04-2021, 08:30 door Anoniem
Bij inloggen met iets goochel achtigs houdt het hier al op. Ik doe geen goochel.
Kortom: niet gevaarlijk
11-04-2021, 10:01 door Anoniem
Door Anoniem: Bij inloggen met iets goochel achtigs houdt het hier al op. Ik doe geen goochel.
Kortom: niet gevaarlijk

En als je de deur nooit uit gaat het je ook geen autogordels nodig. Autoverkeer, ook niet gevaarlijk.
11-04-2021, 10:22 door [Account Verwijderd]
Het verontrustende is dat je altijd mensen hebt die menen dat alleen anderen hier intrappen. Zelf zijn zij niet zo dom is hun verweer.
Dit soort trucs in combinatie met malware worden uitgedacht door sluwe mensen die goed op de hoogte zijn van hoe de psyche van ons functioneert anders bestond deze vorm van criminaliteit niet:

citaat Microsoft:

This campaign is not only successful because it takes advantage of legitimate contact form emails, but the message content also passes as something that recipients would expect to receive.

Criminelen die opereren via de virtualiteit van het Internet zijn vergelijkbaar met white collar criminals, en zijn meer verzekerd van hun succes vanwege hun bovengemiddelde intelligentie. Dat wordt elders ook gesuggereerd:

[1]
Another issue for study involves the nature of IQ's effect on criminal behavior. Up until now, causal arguments have assumed that low IQ increases criminal behavior; however, it is possible that in various ways high IQ actually increases criminal behavior. For example, more-intelligent individuals may feel greater confidence of committing crimes without getting caught, which, as per deterrence theory, should lead to more criminal behavior. More-intelligent individuals might also have more opportunities for some crimes, such as white-collar crime.
(See Wright et al., 1999b, for a discussion of simultaneous positive and negative causal linkages, between social class and crime.)

[1]
https://law.jrank.org/pages/1366/Intelligence-Crime-future-IQ-crime-studies.html


Zolang de hardnekkige misvatting van 'de domme cyber crimineel' blijft bestaan, wat als uitgangspunt geldt voor velen die hier op Security.nl dit soort nieuws lezen gezien de aanmatigende reacties[2]. zal de 'succesrate' van 'cybercrime' (ik weet ook even geen andere benaming) positief blijven.

[2]
op het moment dat ik dit post, 10:18 uur, is er een reactie:
"ik doe geen googel dus niet gevaarlijk"
Die reacties bedoel ik.
11-04-2021, 11:10 door Briolet
Door Staewoldt: Het verontrustende is dat je altijd mensen hebt die menen dat alleen anderen hier intrappen. Zelf zijn zij niet zo dom is hun verweer.
Dit soort trucs in combinatie met malware worden uitgedacht door sluwe mensen die goed op de hoogte zijn van hoe de psyche van ons functioneert anders bestond deze vorm van criminaliteit niet:

Het gaat hier niet zozeer om intrappen, maar je systeembeveiliging op orde hebben. Het betreft hier contactformulieren die gebruikers op websites van bedrijven invullen. Als bedrijf zul je dus deze mail moeten openen en lezen. Bij een goed geformuleerde mail, kun je er misschien niet eens omheen om de link in de mail te volgen.

Omdat je van te voren weet dat dit noodzakelijk kan zijn, bewerk je dit soort klantenmail in een geïsoleerd deel van je netwerk met maximale beveiliging. Gedownloade bestanden mogen dus nooit executierechten hebben en alles gaat eerst door een goede malwarescanner. En wordt die PC besmet, zorgt de isolatie ervoor dat de schade tot die PC beperkt blijft.
11-04-2021, 13:58 door karma4
Door Staewoldt: Het verontrustende is dat je altijd mensen hebt die menen dat alleen anderen hier intrappen. Zelf zijn zij niet zo dom is hun verweer.
...
"ik doe geen googel dus niet gevaarlijk"
Die reacties bedoel ik.
Prima post, dank je.

Door Briolet: [...Omdat je van te voren weet dat dit noodzakelijk kan zijn, bewerk je dit soort klantenmail in een geïsoleerd deel van je netwerk met maximale beveiliging. Gedownloade bestanden mogen dus nooit executierechten hebben en alles gaat eerst door een goede malwarescanner. En wordt die PC besmet, zorgt de isolatie ervoor dat de schade tot die PC beperkt blijft.
Nu weet je het van te voren met de kennis van achteraf bij anderen. Je genoemde maatregelen zijn prima, echter lastig (gebruikersonvriendelijk) en duur (extra inrichting).
Zolang er niets gebeurd is zijn dat de redenen om niet aan preventie te doen.
11-04-2021, 15:16 door Anoniem
Door Anoniem: Bij inloggen met iets goochel achtigs houdt het hier al op. Ik doe geen goochel.
Kortom: niet gevaarlijk
Zo lust ik er ook nog wel 1:
Ik rook niet dus sigaretten zijn niet gevaarlijk.

Het gaat er niet om of het gevaarlijk is voor jou, maar dat dit een nieuwe methodiek is waarop virussen worden verspreid. Je zult dus iets moeten doen hier tegen. Misschien mensen om je heen waatschuwen?
11-04-2021, 15:26 door Anoniem
Door Briolet:Het betreft hier contactformulieren die gebruikers op websites van bedrijven invullen. Als bedrijf zul je dus deze mail moeten openen en lezen. Bij een goed geformuleerde mail, kun je er misschien niet eens omheen om de link in de mail te volgen.
Bij ons contactformulier worden reacties die een link bevatten meteen geweigerd (dwz de verzender krijgt een melding en het formulier gaat niet door).
Dit is er vooral ingezet als spamfilter, maar kennelijk kan het geen kwaad dit soort checks te doen!
11-04-2021, 23:30 door Anoniem
Zodra de gebruiker op de Google-pagina is ingelogd wordt er automatisch een zip-bestand gedownload
Dat kan alleen onder windows, vandaar al die malware incidenten.
12-04-2021, 12:20 door Anoniem
Door Anoniem:
Zodra de gebruiker op de Google-pagina is ingelogd wordt er automatisch een zip-bestand gedownload
Dat kan alleen onder windows, vandaar al die malware incidenten.
Nee hoor, bij andere besturingssystemen zal de browser het bestand downloaden.
Maar zolang de gebruiker dit bestand niet uitpakt en uitvoert, zal er ook geen malware gedownload worden.
En ja, ook bij andere besturingssystemen geld dat als een gebruiker een proces uitvoert dat een bestand wil downloaden, dat het bestand gedownload zal worden.
En ja, ook dan geld dat als je het gedownload bestand gaat uitvoeren, dit uitgevoerd zal worden.
Als eindgebruiker zal er vervolgens echter weinig kapot gemaakt kunnen worden, aangezien gebruikers geen schrijfrechten hebben op o.a. systeembestanden.
12-04-2021, 12:39 door Briolet - Bijgewerkt: 12-04-2021, 12:40
Door Anoniem:
Zodra de gebruiker op de Google-pagina is ingelogd wordt er automatisch een zip-bestand gedownload
Dat kan alleen onder windows, vandaar al die malware incidenten.

Dat zal ook onder MacOS kunnen. In de safari browser moet je per domein aangeven of downloaden toegestaan is. Maar ik kan me voorstellen als dit document in het google domein staat en je dat domein ge-whitelist hebt vanwege een eerdere download uit dat domein, dat dit automatisch binnenkomt.
Maar dan is er nog niets aan de hand. Je zult toestemming moeten geven om zo'n js script te runnen. En omdat ik standaard onder een user-account werk, moet ik zelfs het wachtwoord van een beheerder opgeven om het te kunnen runnen. Dat gaat dus niet even ongemerkt.
12-04-2021, 14:07 door walmare - Bijgewerkt: 12-04-2021, 14:08
Door Anoniem:
Door Anoniem:
Zodra de gebruiker op de Google-pagina is ingelogd wordt er automatisch een zip-bestand gedownload
Dat kan alleen onder windows, vandaar al die malware incidenten.
Nee hoor, bij andere besturingssystemen zal de browser het bestand downloaden.
Maar zolang de gebruiker dit bestand niet uitpakt en uitvoert, zal er ook geen malware gedownload worden.
En ja, ook bij andere besturingssystemen geld dat als een gebruiker een proces uitvoert dat een bestand wil downloaden, dat het bestand gedownload zal worden.
En ja, ook dan geld dat als je het gedownload bestand gaat uitvoeren, dit uitgevoerd zal worden.
Als eindgebruiker zal er vervolgens echter weinig kapot gemaakt kunnen worden, aangezien gebruikers geen schrijfrechten hebben op o.a. systeembestanden.
Mijn browser download het alleen als ik het wil. MS heeft hier gelukkig geen invloed op. Als het gedownload is kan het nog steeds niet uitgevoerd worden. Dat kan alleen onder windows met al die malware incidenten tot gevolg.
Bij vele andere besturingssystemen zal je het eerst uitvoerbaar moeten maken. Met als gevolg nog geen enkel malware incident op een Linux desktop.
12-04-2021, 15:49 door Anoniem
Door walmare:
Door Anoniem:
Door Anoniem:
Zodra de gebruiker op de Google-pagina is ingelogd wordt er automatisch een zip-bestand gedownload
Dat kan alleen onder windows, vandaar al die malware incidenten.
Nee hoor, bij andere besturingssystemen zal de browser het bestand downloaden.
Maar zolang de gebruiker dit bestand niet uitpakt en uitvoert, zal er ook geen malware gedownload worden.
En ja, ook bij andere besturingssystemen geld dat als een gebruiker een proces uitvoert dat een bestand wil downloaden, dat het bestand gedownload zal worden.
En ja, ook dan geld dat als je het gedownload bestand gaat uitvoeren, dit uitgevoerd zal worden.
Als eindgebruiker zal er vervolgens echter weinig kapot gemaakt kunnen worden, aangezien gebruikers geen schrijfrechten hebben op o.a. systeembestanden.
Mijn browser download het alleen als ik het wil. MS heeft hier gelukkig geen invloed op. Als het gedownload is kan het nog steeds niet uitgevoerd worden. Dat kan alleen onder windows met al die malware incidenten tot gevolg.
Bij vele andere besturingssystemen zal je het eerst uitvoerbaar moeten maken. Met als gevolg nog geen enkel malware incident op een Linux desktop.

Je begrijpt het kennelijk niet...
Mensen starten het bewust op, dus als ze jouw machine krijgen, met jouw gebruikte OS en jouw gebruikte browser, zullen ze het bestand dus als 'uitvoerbaar' markeren en uitvoeren.
Als ze het bestand niet handmatig uitvoeren op jouw systeem, zullen ze dat ook niet op een Windows systeem doen
12-04-2021, 21:11 door walmare - Bijgewerkt: 12-04-2021, 21:14
Door Anoniem:
Door walmare:
Door Anoniem:
Door Anoniem:
Zodra de gebruiker op de Google-pagina is ingelogd wordt er automatisch een zip-bestand gedownload
Dat kan alleen onder windows, vandaar al die malware incidenten.
Nee hoor, bij andere besturingssystemen zal de browser het bestand downloaden.
Maar zolang de gebruiker dit bestand niet uitpakt en uitvoert, zal er ook geen malware gedownload worden.
En ja, ook bij andere besturingssystemen geld dat als een gebruiker een proces uitvoert dat een bestand wil downloaden, dat het bestand gedownload zal worden.
En ja, ook dan geld dat als je het gedownload bestand gaat uitvoeren, dit uitgevoerd zal worden.
Als eindgebruiker zal er vervolgens echter weinig kapot gemaakt kunnen worden, aangezien gebruikers geen schrijfrechten hebben op o.a. systeembestanden.
Mijn browser download het alleen als ik het wil. MS heeft hier gelukkig geen invloed op. Als het gedownload is kan het nog steeds niet uitgevoerd worden. Dat kan alleen onder windows met al die malware incidenten tot gevolg.
Bij vele andere besturingssystemen zal je het eerst uitvoerbaar moeten maken. Met als gevolg nog geen enkel malware incident op een Linux desktop.

Je begrijpt het kennelijk niet...
Mensen starten het bewust op, dus als ze jouw machine krijgen, met jouw gebruikte OS en jouw gebruikte browser, zullen ze het bestand dus als 'uitvoerbaar' markeren en uitvoeren.
Als ze het bestand niet handmatig uitvoeren op jouw systeem, zullen ze dat ook niet op een Windows systeem doen
Jij begrijpt niet dat het op een windows desktop automatisch gaat. Dat heet een drive-by download infectie en werkt alleen goed onder windows. Bewijs is de ontelbare malware incidenten die afgerond 100% windows zijn.
Is er een reden om dit onder je pet te willen stoppen? Dit is een security site en geen MS fanclub.
Zal wel in het verlengde van de Cyber Security Raad liggen met Microsoft als partner. Zij hebben besloten om geen focus op het OS te willen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.