Door: Bart Blaze
Is dit het perfecte recept voor een cybercrimineel?
- Hacken van de LinkedIn wachtwoord (en mogelijk gebruikers-)database.
- Verzenden van een e-mail naar alle e-mail adressen die verzameld zijn, die aandringt om zo snel mogelijke je LinkedIn inbox na te kijken.
- Een gebruiker klikt onwetend op de link.
- Een exploit (kwaadaardige code) wordt geladen. Malware wordt op het systeem geïnstalleerd en uitgevoerd.
- De computer van de gebruiker is nu een “zombie” (onderdeel van een botnet).
Reken maar dat bovenstaand recept ideaal is voor de hedendaagse (cyber)crimineel.
We kunnen nagaan dat stap 1 reeds succesvol was, want in het "To" en/of "CC" veld van onderstaande e-mail staan zo’n ~100 ontvangers. Als we enkele e-mail adressen gaan nakijken op LinkedIn, komen we al snel achter de waarheid …
Hieronder de bewuste e-mail:
 |
| Herinnering van LinkedIn. Je hebt een nieuw bericht! |
"Relationship LinkedIn Mail", "Communication LinkedIn Mail" of "Urgent LinkedIn Mail". Uiteraard kan het onderwerp van de e-mail verschillen.
Stap 1 en stap 2 zijn reeds voltooid. Nu dient deze cybercrimineel enkel nog te wachten tot iemand op de link klikt.
Veronderstel dat iemand op de link klikt. Wat zou er vervolgens gebeuren? Dit hangt af van de versie van onderstaande programma’s die mogelijk op je computer geïnstalleerd staan:
In sommige gevallen zal de browser simpelweg crashen. Mogelijk gebeurt er gewoonweg niets. In het ergste geval zal de exploit uitgevoerd worden en je systeem beginnen infecteren.
In dit artikel gaan we de specifieke Adobe Reader exploit bekijken. Hieronder een screenshot van Process Explorer. Met deze tool kunnen we nagaan wat er precies aan de hand is:
 |
| De aanduidingen in het groen wijzen dat een nieuw proces gestart wordt |
Het PDF bestand hebt verschillende uitvoerbare bestanden ingewerkt. Dit wil dus zeggen dat onder het proces van Adobe Reader andere (kwaadaardige) processen kunnen worden gestart, zoals hierboven aangegeven. Mogelijk krijgt je zelfs volgende melding:
 |
| Foutmelding: Er is een probleem opgetreden en Adobe moet worden afgesloten |
Stap 3 en 4 zijn nu ook voltooid. De gebruiker heeft op de link geklikt, de exploit is geladen en malware is op je computer geïnstalleerd.
Nu is het de beurt aan de laatste stap, stap 5. Nadat de malware is uitgevoerd, zal de computer geïnfecteerd zijn met de Zeus malware. Zeus is een Trojan Horse (Trojaans Paard), welke onder andere bankgegevens kan stelen, maar ook inloggegevens van bijvoorbeeld Facebook, Hotmail, ….
Conclusie
UPDATE, UPDATE EN UPDATE! Het is belangrijk om je computer regelmatig te van de laatste patches te voorzien of, met andere woorden, up-to-date te houden en bij te werken.
De volgende programma’s dienen regelmatig bijgewerkt te worden:
Adobe, Java, maar vergeet ook niet: VLC, Windows Media Player… Tegenwoordig worden deze automatisch bijgewerkt, maar aangeraden wordt om toch zelf vaak na te kijken of er geen nieuwe versies (patches) beschikbaar zijn.
Dit beperkt zich niet enkel tot bovenstaande programma’s, maar ook je besturingssysteem dient bijgewerkt te worden. Vergeet ook niet om steeds je browser bij te werken en de plugins of add-ons die je hebt geïnstalleerd.
Indien mogelijk, vermijd het gebruik van Adobe en Java. Een alternatief voor Adobe is bijvoorbeeld Sumatra PDF. Vergeet natuurlijk niet om deze ook up-to-date te huden !
Uiteindelijk dien je een geactiveerde en bijgewerkte versie van een antivirus programma te installeren. Deze vermindert drastisch de kans dat je computer geïnfecteerd raakt met malware.
Deze blog is geschreven door @bartblaze, werkzaam als malware analist bij Panda Security Nederland, en oorspronkelijk in het Engels gepubliceerd op Blaze's Security Blog
Geen opmerkingen:
Een reactie posten