image

Trojaans paard steelt Firefox-wachtwoorden

donderdag 7 oktober 2010, 10:09 door Redactie, 9 reacties

Onderzoekers hebben een Trojaans paard ontdekt dat Firefox aanpast om opgeslagen wachtwoorden te stelen. Normaliter krijgen Firefox-gebruikers bij het inloggen op een beveiligde website de vraag of ze de inloggegevens in de browser willen opslaan. De Nslog Trojan wijzigt het nsLoginManagerPrompter.js bestand, zodat gebruikers deze waarschuwing niet meer te zien krijgen. Standaard slaat Firefox alle ingevulde wachtwoorden in webformulieren op.

De Trojan kopieert zichzelf naar de system32 directory met de bestandsnaam kernel.exe. Tevens installeert en registreert het een oud ActiveX control genaamd Microsoft Internet Transfer Control DLL, of msinet.ocx, waarmee het met de command en control server communiceert. Ook maakt het een nieuw gebruikersaccount aan genaamd Maestro.

Vervolgens steelt de malware gegevens uit de Protected Storage die IE gebruikt om wachtwoorden op te slaan en de locatie waar Firefox wachtwoorden bewaart. Die informatie wordt één keer per minuut naar de aanvaller gestuurd. Opmerkelijk genoeg heeft de auteur een naam vermeld, die weer naar een Facebook profiel leidt. Het zou om een Iraanse programmeur gaan. "Het komt niet vaak voor dat een virusschrijver zijn creatie met zijn eigen naam ondertekent. Ze zijn meestal iets slimmer", zegt Andrew Brandt van Webroot.

Reacties (9)
07-10-2010, 10:31 door Anoniem
"een naam" en "zijn eigen naam" kunnen twee totaal verschillende dingen zijn. Het is mij niet duidelijk waarom men hier doet voorkomen alsof de programmeur zichzelf aangeeft.
07-10-2010, 10:35 door Maki
Dom gedrag van de programmeur terzijde, het is leuk om te zien hoe deze creatie voornamelijk 32-bits Windows systemen treft.

Lijkt mij dat 64-bits Windows, Mac & Linux hier niet door geinfecteerd zullen raken?
Tenzij de 64-bits Windows ook een system32 folder heeft? Ik heb geen Windows, dus kan dat niet verifieren. o.o
07-10-2010, 10:39 door coolvibe
64-bit windows heeft ook een system32 folder. Omdat legacy software deze map verwacht te bestaan.
07-10-2010, 12:03 door [Account Verwijderd]
[Verwijderd]
07-10-2010, 13:57 door Anoniem
Door Peter V: Het probleem is voor altijd op te lossen als de browser de wachtwoorden versleuteld opslaat.

Wie van Microsoft, Mozilla en Google nemen eens dit ter hand?

Van: Kees

Hallo Peter,

Denk je nou werkelijk dat het versleutelen van wachtwoorden in de browser iets gaat oplossen?
Ook malware is in staat om dit weer te ontsleutelen, net zoals versleutelde wachtwoorden in de .sam file van bijv. op
Win2000 en andere. Zat software anders die de versleuteling weer kan ontsleutelen, kraken of brute-forcen.

Ook malware gaat met zijn tijd mee.

Als jij zelf of iemand anders Microsoft, Mozilla en Google niet op de hoogte brengt, dan zal er ook niks gebeuren.
Of denk je echt dat die ieder security forum napluizen op berichten over iets.

Ik zou zeggen schrijf hun eens aan. Firefox is tevens open-source, dus klim in de pen zou ik zeggen.
Tevens gaat het hier over de Firefox browser, en niet over Microsoft of Google.
Beide hebben ook wel browsers, maar daar schijnt het even niet over te gaan.

Verder zijn het de mensen die weer overal op klikken, zonder na te denken.

Kijk ik surf lekker van een zogenaamde Linux Live Boot CD, dus lekker geen gevaar, en toch alle opties
die ik wil, zonder gelijk vanalles te moeten installeren.
Linux Boot CD erin, wat surfen, wat mailen, briefje maken, en uitprinten, en voila, klaar is Kees
Mensen zeuren altijd zo over snelheid en dergelijke, maar dat was vroeger wel even anders.
Verder niks opslaan (of op USB stick) geen Windows fat of NTFS indeling ) en klaar is Kees.

AIs mensen even wat betere research doen, dan is veilig computeren toch niet echt moeilijk.
Zat Linux Boot CD's te downloaden, die best wel veilig zijn.

Maar goed dit alles even off topic, tenmiste het laatste dan.
07-10-2010, 16:21 door cyberpunk
Onderzoekers hebben een Trojaans paard ontdekt dat Firefox aanpast om opgeslagen wachtwoorden te stelen.

Misschien een domme vraag, maar... ook als je in Fx een Master Password en FIPS hebt ingesteld?
07-10-2010, 17:14 door Rene V
Het lijkt mij dat wanneer je dus met FF als standard user in Win7 surft dat deze trojan zich ook niet naar de systeem map kan kopiëeren. Als standard user heb je immers geen schrijfrechten aldaar.
07-10-2010, 17:56 door Anoniem
@Peter V:
Hoe wil jij wachtwoorden ooit versleuteld gaan slaan als ze reproduceerbaar moeten zijn?
Want dan moet je iedere keer dat je ze nodig hebt, om ze te reproduceren een wachtwoord intypen om ze te ontsleutelen.

Mocht je dat willen, dan is dat al jaren mogelijk in Firefox, door een master-password in te stellen.
08-10-2010, 18:00 door DipSwitch
Niet alleen Firefox maar ook Internet Explorer is slachtoffer lees ik in dit bericht. Vreemde titel dan...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.