Firefox-gebruikers doelwit stuntelige zero-day-aanval
De meeste gerichte aanvallen waarbij zero-day-lekken in bepaalde software worden gebruikt zijn goed georganiseerd, maar dat geldt niet voor een recente aanval op Firefox-gebruikers. "Het lijkt erop dat we midden in de ontwikkeling en testfase van het project waren beland", aldus anti-virusbedrijf Sophos, dat bij het onderzoek naar de gebruikte malware was ingeschakeld.
De meeste malware-bestanden bleken geen anti-debugging en anti-anti-virusmaatregelen toe te passen, zoals vaak het geval is. Daarnaast werden allerlei testversies ontdekt en stonden de 'debugpaden', nog in elk onderdeel vermeld. De gebruikte padnamen,classifiedprojects\projectdefense en classified\investigation\nationalsecurity, zijn volgens het anti-virusbedrijf vooral een rookgordijn om verwarring te veroorzaken.
"Wat we ontdekten leek vooral een test-operatie van een criminele bende te zijn, die de laatste creatie uitprobeerde." De malware-exemplaren waren van een geldig digitaal certificaat ondertekend, dat ook bij andere aanvallen was gebruikt waar andere zero-days waren ingezet.
Firefox
De aanval begon met een e-mail met een link, waarop de ontvanger moest klikken. Die link wees naar een in Turkije gehoste website die een Adobe Flash exploit bevatte. De aanval werkte alleen tegen Firefox-gebruikers. Was de aanval succesvol, dan werd er malware geïnstalleerd die met een in Nederland gehoste Command & Control-server verbinding maakte.
De malware verzamelt systeemgegevens, kan screenshots maken en versturen en aanvullende malware downloaden en installeren. De gedownloade malware wordt nooit als bestand op de harde schijf weggeschreven, waardoor het lastiger te detecteren is.
Niet alleen de door de malware-makers gebruikte benaming viel op, ook wordt bepaalde code voor het vinden van bestanden in de temp directory niet gebruikt. "Weer een aanwijzing dat de malware incompleet is."
Onhandig
Daarnaast zit de malware zelf vol met debug-berichten. Sophos concludeert dat het dan ook om een 'work in progress' gaat, die uit een aantal verschillende modules bestaat die nog niet goed samenwerken.
"Het programmeren is onhandig gedaan, maar dit wordt rechtgezet door het feit dat het een geheugen plug-in architectuur en een voorheen onbekende Flash zero-day exploit gebruikt."
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.