 |
| Verizon important account information! ;-) |
Wanneer je in dit geval geen lekke Java of Adobe versie geïnstalleerd hebt word je na enige tijd (61.000 milliseconden om precies te zijn) doorgestuurd naar een andere website waar je vervolgens een volledig nieuwe versie van Adobe Flash Player kunt downloaden:
 |
| Download the new Flash Player... Let erop dat dit niet de officiële Adobe site is. |
Een van de dingen die me altijd irriteerde tijdens het downloaden van Flash is de rood omcerkelde melding. En ja, op de echte Adobe website is deze melding ook altijd aanwezig:
"You may have to temporarily disable your antivirus software"
Goed bedacht, toch?
De “bad guys” hebben in feite gewoon een copy/paste actie uitgevoerd van de officiële Adobe download site en vervolgens het versienummer aangepast. Wanneer je vervolgens klikt op de download site wordt het volgende bestand gedownload:
MD5: 1b7d3393018d65e9d37566089b7626d5
VirusTotal Report
Anubis Report
ThreatExpert Report
De “payload” lijkt de Zeus/Zbot malware te zijn welke ook contact opneemt met de command & control server: 88.190.210.199
Volgende samples zijn verzameld:
Pastebin links voor de Java-scripts:
http://pastebin.com/hhQe6RCP
http://pastebin.com/nt5JmGp3
Conclusie
- Klik niet zomaar op links van onbekende afzenders, of beter, open ook geen e-mail van onbekende/onbetrouwbare afzenders
- Zorg dat, naast het besturingssysteem ook applicaties als Java en van Adobe altijd gepatched zijn (of verwijder deze als je deze niet gebruikt)
- Installeer uiteraard altijd een anti-malware oplossing en zorg dat deze te allen tijde draait en up-to-date is.
- Gebruik de NoScript add-on in Firefox of NotScripts in Chrome
Deze blog is geschreven door @bartblaze, werkzaam als malware analist bij Panda Security Nederland, en oorspronkelijk in het Engels gepubliceerd op Blaze's Security Blog
Geen opmerkingen:
Een reactie posten