image

Hackers verstoppen backdoor in downloadmanager FlashGet

zaterdag 15 maart 2008, 09:13 door Redactie, 4 reacties

Hackers zijn erin geslaagd de website van een zeer populaire downloadmanager te hacken en de updates voor het programma door een Trojaans paard te vervangen. Voor tenminste tien dagen lang fungeerde het programma FlashGet als een Trojan downloader dat mogelijk miljoenen internetgebruikers over de hele wereld infecteerde. Volgens Download.com is de software zo'n 6 miljoen keer sinds september vorig jaar gedownload. Het programma helpt gebruikers bij het downloaden van bestanden via verschillende protocollen.

De aanvallers slaagden erin toegang te krijgen tot de servers van FlashGet en plaatsten daar de malware. De bij gebruikers geïnstalleerde software zag dat er een FlashGet update was en begon die automatisch te downloaden en installeren, zonder dit de gebruiker duidelijk te maken. Het probleem wordt veroorzaakt door de werking van het programma. Door het aanpassen van het .ini bestand wordt automatisch een opgegeven bestand gedownload en geïnstalleerd, zonder enige interactie. Ook van deze mogelijkheid hebben virusschrijvers naar alle waarschijnlijkheid misbruik gemaakt.

Chinese ontwikkelaar zwijgt
Opmerkelijk is dat de Chinese ontwikkelaar van FlashGet helemaal niets van zich heeft laten horen. Op het forum van de ontwikkelaar klagen tal van gebruikers, maar die zwijgt in alle talen. Inmiddels is de malware van de servers verwijderd, het probleem met het .ini bestand is nog steeds niet opgelost, waardoor de software nog steeds als Trojan download kan fungeren. "We weten nog steeds niet hoe de aanval plaatsvond en hebben ook geen garantie dat het niet nog een keer zal gebeuren. Ik zal geen schuldige aanwijzen, maar iedereen kan z'n eigen conclusies trekken," zegt Aleks Gostev van Kaspersky Lab.

Onterecht vertrouwen in software
Laatst werd ook bekend dat een backup programma voor Google's Gmail wachtwoorden doorstuurde naar de auteur. De les die Sandi Hardmeier toen gaf is ook nu van toepassing: "Iedereen heeft vertrouwen in het installeren en downloaden van software via het internet, of het nu freeware, shareware of commerciële software is. Dit verhaal is een goede herinnering dat als we programma's via het internet downloaden we NIET weten met wie we te maken hebben en niet zeker kunnen zijn of ons vertrouwen wel terecht is."

Reacties (4)
15-03-2008, 10:58 door Anoniem
Best een ernstig als je het mij vraagd. Zou dit ook van
toepassing zijn op linux of zijn de add-ons voor firefox
niet platformonafhankelijk?
15-03-2008, 13:36 door wimbo
Op dit soort dingen kan je als software maker/leverancier
natuurlijk nat gaan. Steeds meer software heeft ingebouwde
update functionaliteit, dus als een server gehackt wordt,
heb je duizenden geïnfecteerde gebruikers.
Zelfs is het publiceren van een hash ook niet zaligmakend,
want als ze de software kunnen aanpassen, dan moet het ook
niet moeilijk zijn om ook de hash op de website aan te passen.

Oh aj, en het mooie is dat dit soort hacks
platformonafhankelijk zijn. Een OSX of Linux doos zal ook
gewoon foute updates downloaden.
15-03-2008, 13:40 door Anoniem
Door Anoniem
Best een ernstig als je het mij vraagd. Zou dit ook van
toepassing zijn op linux of zijn de add-ons voor firefox
niet platformonafhankelijk?

Door Anoniem
Best een ernstig als je het mij vraagd. Zou dit ook van
toepassing zijn op linux of zijn de add-ons voor firefox
niet platformonafhankelijk?

Het is 'mogelijk' maar niet heel waarschijnlijk om met een Linux
machine geinfecteerd te raken door het gebruik van onbekende FF
plugins etc.
Zo waren er in het verleden (heden?) verschillende FF thema's
beschikbaar waarin malware was verborgen en je FF browser
compromiteerde.

Ook zijn er in het verleden mirror servers voor Linux gehackt en
werden de legitiem beschikbare applicaties vervangen met
gecompromiteerde applicaties, dit soort hacks worden over het
algemeen zeer snel ontdekt.

Linux kan net als Mac besmet raken met ongewenste zaken al is de
waarschijnlijkheid daarvan aanzienlijk lager dan bij Windows
machines.

Fred

@ Wimbo: die auto update functie is er inmiddels ook al voor Linux...
15-03-2008, 17:11 door Anoniem
Door Anoniem
Best een ernstig als je het mij vraagd. Zou dit ook van
toepassing zijn op linux of zijn de add-ons voor firefox
niet platformonafhankelijk?

Het gaat over FlashGet, niet FlashGot.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.