image

Facebook-advertenties verspreiden malware die wachtwoorden en crypto steelt

vrijdag 9 februari 2024, 11:22 door Redactie, 9 reacties

Malafide advertenties op Facebook worden gebruikt voor het verspreiden van malware die onder andere wachtwoorden uit wachtwoordmanagers, crypto en documenten van besmette systemen steelt, zo laat securitybedrijf Trustwave weten (pdf). De advertenties doen voorkomen dat er vacatures zijn voor posities zoals accountmanager. Voor meer informatie wordt er naar een extern bestand gelinkt. Dit is een malafide bestand dat, wanneer geopend door de gebruiker, de uiteindelijke malware downloadt.

Eenmaal actief kan de Ov3r_Stealer, zoals de malware door Trustwave wordt genoemd, allerlei informatie van systemen stelen. Het gaat dan om cryptowallets, wachtwoorden uit een groot aantal wachtwoordmanagers waaronder Dashlane, Bitwarden, KeePass, LastPass en KeePassXC, alsmede authenticator-apps zoals Google Authenticator, Microsoft Authenticator, Duo Mobile, Authy en FreeOTP.

Verder steelt de malware ook tekst-, Excel- en Word-bestanden uit de Documenten-map, inloggegevens uit ftp-client FileZilla en gebruikersgegevens uit Google Chrome. Het gaat dan om cookies, creditcardgegevens en andere ingevulde gegevens. De gestolen data wordt vervolgens naar een Telegram-kanaal gestuurd dat door de aanvallers wordt gemonitord.

Reacties (9)
09-02-2024, 11:57 door Anoniem
Hoort de titel niet te zijn:"advertenties verspreiden malware".

Het probleem is namelijk vele malen groter dan alleen FB.
En de advertentie-industrie lukt het al decennia niet om schoon schip te maken. (als ze er al moeite in stoppen)

Wereldwijd overheidsingrijpen in hiervoor noodzakelijk.
Bv door het verbieden van alle online reclame uitingen.
09-02-2024, 12:02 door Anoniem
Hoe kan malware wachtwoorden uit wachtwoordmanagers extraheren? Is dit al eens eerder mogelijk geweest? Als ik het goed begrepen heb kan zelfs een keylogger dit niet bij de juiste instellingen (obfuscation) van de passwordmanager. Het enige wat ik kan bedenken is een keylogger die het intypen van het hoofdwachtwoord kan uitlezen.
09-02-2024, 12:12 door Anoniem
Geavanceerde Russische criminaliteit.
Mensen, kap toch met Meta en Telegram, …
09-02-2024, 12:32 door Anoniem
Door Anoniem: Hoort de titel niet te zijn:"advertenties verspreiden malware".

Het probleem is namelijk vele malen groter dan alleen FB.
Het probleem is inderdaad veel groter, maar dit is geen achtergrondartikel over de risico's van malware in online advertenties in het algemeen, dit is een nieuwsbericht over specifieke malware die via advertenties op Facebook verspreid wordt.

Door Anoniem: Hoe kan malware wachtwoorden uit wachtwoordmanagers extraheren?
Het artikel bevat niet voor niets een link naar een PDF met een uitgebreidere beschrijving. Daarin staat een overzicht van de verzamelde en geëxfiltreerde data. Daarin zie ik niet de (versleutelde) .kdbx-bestanden van KeePass en KeePassXC staan, maar wel de browser-extensies voor die twee en andere password managers. Kennelijk weten ze de browser-extensies af te tappen.
09-02-2024, 12:55 door Anoniem
Door Anoniem: Hoe kan malware wachtwoorden uit wachtwoordmanagers extraheren? Is dit al eens eerder mogelijk geweest? Als ik het goed begrepen heb kan zelfs een keylogger dit niet bij de juiste instellingen (obfuscation) van de passwordmanager. Het enige wat ik kan bedenken is een keylogger die het intypen van het hoofdwachtwoord kan uitlezen.
Omdat het niet om het stelen uit de keymanagers gaat maar om de auto invuller via browser extenties. Zie Stage 6 in de link.

Die installeren mensen omdat ze te lui zijn zelf de goede waardes op te zoeken in hun keymanager en daar maken criminelen gretig gebruik van.

Wat mij wel verbaasd is dat 1Password die ook zo browser extentie heeft niet genoemd word en dat is toch wel een grote partij. Ik geloof geen seconde dat ze betere beveiliging hebben dan de anderen daarmee. En ja ik ben gebruiker van hun keymanager tevreden erover maar heb geen illusie dat ze beter zijn dan de andere groot aanbieders.
09-02-2024, 14:13 door wallum
Het artikel bevat niet voor niets een link naar een PDF met een uitgebreidere beschrijving. Daarin staat een overzicht van de verzamelde en geëxfiltreerde data. Daarin zie ik niet de (versleutelde) .kdbx-bestanden van KeePass en KeePassXC staan, maar wel de browser-extensies voor die twee en andere password managers. Kennelijk weten ze de browser-extensies af te tappen.
Dat is precies de reden dat ik geen browserexterensie gebruik en zelf handmatig Keepass open om wachtwoorden op te zoeken: browsers + extensies hebben een groot aanvalsoppervlak.
Overigens werkt een browserextensie in een ander opzicht wel als extra beveiliging: een mens kan zich vergissen bij een valse domeinnaam zoals lng.nl terwijl een extensie de domeinnaam niet herkent en dus geen wachtwoord invult.
09-02-2024, 14:24 door Anoniem
Facebook, is dat een soort social media?
Ik heb er heel vaak van gehoord, je hoort er veel negatieve dingen over zoals spionagepraktijken en wat al niet meer...
Vraag me af wat er zo leuk aan is...
Ik houd me liever bezig met mijn vrouw, daarnaast heb ik veel werk dus houd me niet zo bezig met die internetdingen en TV, maar soms hoor je de gekste dingen zoals mensen die alleen maar ongelukkig worden van die dingen.
Wel post ik weleens een berichtje zoals op deze site, maar daar wordt ik alleen maar blij van.
09-02-2024, 21:38 door Anoniem
Door Anoniem: Geavanceerde Russische criminaliteit.
Mensen, kap toch met Meta en Telegram, …
Dat helpt niet direct en snel.
Adblockers to the max... Helpt een beetje,
umatrix disable scripts by default... Een beetje meer

Websites die de advertentie verkoop in eigen hand nemen werkt het zeker.
09-02-2024, 23:10 door Anoniem
Door Anoniem: Hoe kan malware wachtwoorden uit wachtwoordmanagers extraheren? Is dit al eens eerder mogelijk geweest? Als ik het goed begrepen heb kan zelfs een keylogger dit niet bij de juiste instellingen (obfuscation) van de passwordmanager. Het enige wat ik kan bedenken is een keylogger die het intypen van het hoofdwachtwoord kan uitlezen.

Misschien als mensen besluiten hun wachtwoorden in te laten voeren via het clipboard kunnen ze mogelijk gestolen worden, ik gebruik altijd het woordenboek van het virtuele toetsenbord (magikeyboard) ingebouwd in keepassDX om de wachtwoorden over te zetten, dat is een stuk veiliger.
Keepass bestanden zijn versleuteld, dus moet er wel een heel diepgaande hack op de telefoin of PC geinstalkeerd staan om daar bij te kunnen, evenals een screenshot maken, dat is normaliter niet mogelijk in Keepass op de telefoon.
Ik gebruik daarnaast zelf GrapheneOS als besturingsysteem, dat helpt enorm, evenals een DNS adblocker die eveneens trackers en malware blokkeert, alle beetjes helpen.
Daarnaast is het niet gebruiken van social media ook goed, ikzelf doe daar ook niet aan.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.