image

Dns overheidsdomeinen ex-Sovjetland gekaapt voor phishingaanval

donderdag 30 september 2021, 14:53 door Redactie, 2 reacties

Aanvallers hebben eind vorig jaar en begin dit jaar de dns van verschillende overheidsdomeinen van een ex-Sovjetland gekaapt en vervolgens gebruikt voor een geraffineerde phishingaanval. Dat meldt antivirusbedrijf Kaspersky in een analyse. Door de dns-kaping konden de aanvallers verschillende domeinnamen gebruikt voor webmail naar hun eigen servers laten wijzen.

Voor gebruikers viel de phishingaanval niet op, aangezien ze de originele domeinnaam bezochten en er ook een beveiligde verbinding werd gebruikt. De website in kwestie was echter een phishingsite die ingevoerde inloggegevens verzamelde. Daarnaast was op de phishingsite een bericht geplaatst dat een aangeboden beveiligingsupdate moest worden geïnstalleerd om van de e-maildienst gebruik te blijven maken. In werkelijkheid ging het om malware.

De malware installeerde weer andere malware die door Kaspersky "Tomiris" wordt genoemd. Volgens Kaspersky zijn er mogelijke verbanden tussen deze malware en de malware die de aanvallers achter de SolarWinds-aanval gebruikten. Tegen welke land de Tomiris-malware en phishingaanval is ingezet wordt niet door de virusbestrijder vermeld.

Image

Reacties (2)
30-09-2021, 18:31 door Anoniem
Het begint langzaam interessant te worden om een lijst aan te leggen welke TLD's je beter van weg kunt blijven.

Ik herinner met https://www.theregister.com/2017/07/10/io_hijacking_in_transition_cockup/ nog goed. Waren er al meer?
30-09-2021, 21:12 door Anoniem
Tijd voor IIS crypto.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.