NCSC publiceert lijst met door Flubot-malware gebruikte domeinnamen
Het Nationaal Cyber Security Centrum (NCSC) heeft op GitHub een lijst met domeinnamen gepubliceerd waarvan de Flubot-malware gebruikmaakt. Organisaties kunnen met deze lijst infecties op de telefoons van medewerkers opsporen of nieuwe besmettingen voorkomen.
Vorige maand werd de Flubot-malware via malafide sms-berichten onder Nederlandse Androidgebruikers verspreid. In de berichten, die van een pakketbezorger afkomstig leken, werd gesteld dat de ontvanger door het installeren van de gelinkte app zijn of haar pakket kon volgen. In werkelijkheid bevatte de app de Flubot-malware.
FluBot is een banking Trojan die onder andere gegevens probeert te stelen om bankfraude mee te kunnen plegen. Eenmaal geïnstalleerd door de gebruiker kan FluBot sms-berichten onderscheppen en versturen, het adresboek uitlezen, telefoonnummers bellen en Google Play Protect uitschakelen. Het voornaamste doel is echter phishing. De malware kijkt welke applicaties erop het toestel geïnstalleerd staan.
In het geval van bankapplicaties zal de FluBot hiervoor een aparte phishingpagina downloaden. Zodra het slachtoffer de legitieme bank-app start plaatst FluBot de phishingpagina hierover. Inloggegevens die gebruikers vervolgens op de phishingpagina invullen worden naar de aanvaller gestuurd. Daarnaast kan de malware phishingpagina's voor creditcardgegevens tonen en besmette toestellen nieuwe sms-berichten laten versturen.
KPN liet tegenover Security.NL weten dat het door de malware een sterke toename zag in het aantal klanten met een sms-piek. Normaliter krijgt de telecomprovider met enkele tientallen klanten per week te maken waarbij er een piek in het sms-gebruik zichtbaar is. Na de uitbraak van de FluBot-malware ging het vorige week om bijna vijfhonderd klanten.
Eerder meldde securitybedrijf ThreatFabric tegenover Security.NL dat het de infecties in Nederland met duizenden zag toenemen. De Fraudehelpdesk laat aan Security.NL weten dat het in mei 4700 meldingen ontving over verdachte berichten van een pakketdienst. Een aantal van deze personen installeerden de malafide app en waren vervolgens honderden euro's kwijt aan sms-kosten.
De lijst van het NCSC bevat een overzicht van domeinnamen waar de malware mee communiceert. Het gaat om duizenden domeinnamen eindigend op .su, .ru en .cn. "Organisaties kunnen deze lijst gebruiken om infecties te detecteren en/of blokkeren en waar nodig actie ondernemen", aldus de overheidsdienst.
Zelfs die Android apparaten worden niet besmet door de sms. Het is de gebruiker zelf die de app installeert en er eerst voor kiest om de beveiliging uit te zetten om hem buten de vertrouwde appstore om, te kunnen installeren.
Het NCSC verwijst voor aanvullende informatie over detectieoplossingen naar:
https://www.ncsc.nl/documenten/publicaties/2019/mei/01/handreiking-voor-implementatie-van-detectie-oplossingen
Een goede handreiking, zeer lezenswardig, maar geschreven voor netwerkbeveiliging.
Op Github is te lezen dat de Seed Value voor Nederland 2931 is, en daar staan exact 5000 (!!) malafide domeinnamen in vermeld, eindigend op .ru .cn en .su
https://github.com/NCSC-NL/flubot
Deze malafide domeinnamen moeten dan door alle systeembeheerders worden ingevoerd in hun IDS/IPS ("Snort rule") of worden gematched met de loggegevens van een SIEM.
Kunnen deze (malafide) domeinnamen ook direct op een Android smartphone ergens uitgelezen worden, met andere woorden is er een logbestand met bezochte domeinnamen op een Android apparaat lokaal opgeslagen? Volgens mijn info alleen als "Web & App Activity" op "on" staan, en die heb ik op "paused" gezet.
https://support.google.com/accounts/answer/54068?hl=en&co=GENIE.Platform%3DAndroid&oco=1
Wie weet hier meer over?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
