image

ESET: updater Tencent QQ gekaapt om malware onder NGO te verspreiden

vrijdag 28 april 2023, 09:37 door Redactie, 4 reacties

De updater van de populaire Chinese chatsoftware Tencent QQ is door aanvallers gekaapt en gebruikt voor het verspreiden van malware onder leden van een internationale NGO, zo stelt antivirusbedrijf ESET. Misbruik van het updatekanaal zou al sinds 2020 plaatsvinden. Getroffen personen bevinden zich in China, Hong Kong, Macau en Nigeria.

Hoe de malware precies kon worden verspreid is niet duidelijk. ESET beschrijft twee scenario's, namelijk een supplychain-aanval, waarbij de aanvallers toegang tot de updateservers kregen en zo malafide updates onder een select aantal gebruikers konden verspreiden, of een "adversary-in-the-middle (aitm) aanval, waarbij routers en gateways van internetproviders zijn gecompromitteerd.

"Met toegang tot de backbone-infrastructuur van de internetprovider, op legale of illegale wijze, zouden de aanvallers update-requests die via http worden uitgevoerd kunnen onderscheppen en beantwoorden, of zelfs in real-time netwerkpakketten kunnen aanpassen", aldus de onderzoekers. Er is echter geen voldoende bewijs om één van de twee scenario's te bewijzen.

De malware die via de updater werd verspreid en geïnstalleerd wordt MgBot genoemd en is in staat om toetsaanslagen op te slaan, bestanden te stelen, tekst uit het clipboard te kopiëren, audiosteams op te nemen, wachtwoorden uit e-mailclients Outlook en Foxmail te stelen, alsmede inloggegevens uit Chrome, Opera, Firefox, Foxmail, QQBrowser, FileZilla en WinSCP.

De meeste plug-ins waar MgBot gebruik van maakt zijn ontwikkeld om informatie uit populaire Chinese applicaties te stelen, zoals WeChat, QQBrowser en Foxmail, die allemaal door Tencent zijn ontwikkeld. QQ zou 573 miljoen gebruikers hebben. De naam van de getroffen NGO is niet bekendgemaakt.

Image

Reacties (4)
28-04-2023, 10:04 door Anoniem
Dus hebben ze nu de gegevens van een half miljard mensen.
Het gaat dus over 1-16e van de totale wereldbevolking.

DAT is nou nog eens een leuke dataset... :)
28-04-2023, 11:02 door Anoniem
Ik denk dat de overheid in China gewoon het bedrijf vraagt om bij die gebruikers/organsatie iets te installeren en dan klaar.

Enige dat ze nodig hebben is 1 OS exploit...
28-04-2023, 11:18 door Anoniem
Door Anoniem: Dus hebben ze nu de gegevens van een half miljard mensen.
Het gaat dus over 1-16e van de totale wereldbevolking.

DAT is nou nog eens een leuke dataset... :)

??? Dus jij weet welke NGO dit is? En welke NGO heeft "de gegevens van een half miljard mensen"?
28-04-2023, 12:08 door Anoniem
Door Anoniem: Dus hebben ze nu de gegevens van een half miljard mensen.
Het gaat dus over 1-16e van de totale wereldbevolking.

DAT is nou nog eens een leuke dataset... :)

Alleen niet zo representatief .
Het is (vooral) een kleine helft van Chinezen uit de PRC en expat Chinezen elders dat een QQ account had/heeft en bekend is bij Tencent .

Ooit had Hyves gegevens van een dergelijk percentage van de NL bevolking (en waarschijnlijk wat randgevallen als expats en Belgen) . [10 M accounts in 2010 )

Met het bericht van eset kun je niet stellen dat alle QQ gebruikersaccounts compromised zijn .
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.