Nederlanders doelwit Java-lek via BTW-mail
Nederlandse internetgebruikers zijn het doelwit van een gerichte e-mail die computers via het nieuwe Java-lek probeert te besmetten. Het bericht lijkt afkomstig van BDO Accountants & Adviseurs en heeft als onderwerp "Let op! BTW tariefverhoging per 1 oktober 2012", aldus anti-virusbedrijf Sophos. De tekst waarschuwt voor de komende verhoging van het belastingtarief en bevat een link waarbij de ontvanger kan controleren wat de verhoging voor hem inhoudt.
Ook zou de link handige tips bevatten. In werkelijkheid wijst de link naar een geobfusceerd script dat een kwaadaardig Java-applet downloadt dat de computer via het lek in Java 7 probeert te infecteren. De e-mail is niet afkomstig van BDO, maar is verstuurd via hostingprovider Redbee. Volgens Sophos gaat het hier om een gerichte aanval.
Exploit
Het Delftse beveiligingsbedrijf Fox-IT maakte een analyse van de aanvallen die op dit moment plaatsvinden. Via de exploit worden verschillende banking Trojans geïnstalleerd, zoals Hermes, Zeus en Citadel. Deze Trojaanse paarden zijn speciaal ontwikkeld om geld van online bankrekeningen te stelen. Analyse van het gevonden Hermes-exemplaar, alsmede de Command & Control servers waarmee het verbinding maakt, laat volgens analist Michael Sandee zien dat de aanvallers achter deze aanval ook achter de Dorifelbesmetting in Nederland zaten.
Een ander interessante ontdekking is dat de gebruikte exploitcode op 17 augustus is gecompileerd, wat nog voor de ontdekking van de meeste andere bekende exploits is. De exploit verschilt van de door FireEye ontdekte exploit. "Deze tijdslijn is interessant, aangezien het dichter bij de datum is van de aankondiging van de VulnDisco Java zero-day die op 10 augustus werd aangekondigd", merkt de analist op.
Russisch
Het gaat hier om een exploit die aan het exploitprogramma van het Amerikaanse beveiligingsbedrijf Immunity werd toegevoegd. Dit is een commercieel programma waarmee bedrijven de veiligheid van hun systemen kunnen testen. Sandee acht het mogelijk dat de kwetsbaarheid al onder cybercriminelen rondging en sommigen die hebben opgepikt, of dat die uit VulnDisco is gestolen.
Verder blijkt dat de aanvallers verschillende OpenX advertentieservers hackten om de exploit in advertenties te verstoppen. Die kwamen onder andere op de website van Omroep West terecht. "Er was veel meer moeite gedaan om ervoor te zorgen dat de exploit niet door virusscanners werd ontdekt in vergelijking met ander exploits die nu rondgaan." Sandee vermoedt dat de exploit op Russische cybercrimefora eerst werd aangeboden.
Nitro
De exploit die door beveiligingsbedrijf FireEye werd geopenbaard zou ook door de Nitro-groep zijn gebruikt. De Nitro-groep werd bekend vanwege aanvallen op chemische bedrijven. Deze groep zou nu ook achter verschillende aanvallen met de nieuwe Java-exploit zitten.
Symantec stelt dat het waarschijnlijk is dat ook deze groep slachtoffers via e-mail aanvalt, net als bij vorige campagnes. De Nitro-groep zou de Java-exploit sinds 22 augustus gebruiken. Eenmaal succesvol wordt er een backdoor op het systeem gedownload.
Security.nl maakte dit achtergrondartikel over het uitschakelen van Java.
Alles goed met je? Erg waardevolle opmerkingen heb je op deze draad.
Ook hier zitten niet de bekende taalfouten van google translate in, wel een paar d/dt fouten. Nu zitten er ook wat kleine foutjes in maar niks wat je niet zou kunnen verwachten van een hedendaagse medewerker van een Nederlands bedrijf.
Ik denk dat het een flink risico is voor bedrijven met slecht IT beheer, want deze verhalen komen zeer geloofwaardig over en de gemiddelde ontvanger zal gewoon op de link klikken.
Uiteraard kun je met fatsoenlijke systeeminrichting vrij simpel voorkomen dat de PC besmet wordt.
Zorg er voor dat je gebruikers geen administrator rechten hebben op je werkstations. Dat hebben ze niet nodig, echt.
Zorg dat er een proxy of firewall richting internet is die het niet toestaat dat je gebruikers exe bestanden downloaden.
Zorg voor een group policy die het uitvoeren van executable bestanden beperkt tot de directories waar deze geinstalleerd staan, en dus blokkeert voor TEMP directories, netwerkshares waar gebruikers hun documenten neerzetten, e.d.
En uiteraard: gebruik een virusscanner.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.