image

Magische malware blijft jaar lang onzichtbaar

donderdag 18 april 2013, 11:59 door Redactie, 3 reacties

Een onbekende malware-familie heeft bijna een jaar lang duizenden computers weten te infecteren voordat het werd ontdekt. De 'Magic malware', zoals de kwaadaardige code door beveiligingsbedrijf Seculert wordt genoemd, was vooral in Groot-Brittannië actief, gevolgd door Italië en de Verenigde Staten. In plaats van te communiceren via HTTP, werd er via een zelfgemaakt protocol gecommuniceerd.

Bij één infectie zagen de onderzoekers hoe de malware de Command & Control (C&C)-server om instructies vroeg. De C&C-server antwoordde met een opdracht om een nieuwe backdoor-gebruiker toe te voegen, met de gebruikersnaam 'WINDOWS' en het wachtwoord 'MyPas1234'. Daarmee kregen de aanvallers toegang tot de machine of het netwerk.

Onzichtbaar
De Magic malware wist 11 maanden onopgemerkt te blijven en in die tijd 'duizenden verschillende entiteiten' te infecteren, aldus Seculert. Volgens het beveiligingsbedrijf zou de malware nog steeds in ontwikkeling zijn, aangezien er verschillende aanwijzingen van nieuwe features en functies werden ontdekt, die nog niet waren geïmplementeerd of werden gebruikt.

Als de aanvaller een browser op de computer van een slachtoffer wil starten, laat de malware in de Remote Desktopsessie van de aanvaller een melding zien met 'TODO: Start browser!'.

Doel
Wat de aanvallers precies met de malware van plan waren is nog onduidelijk. De Magic malware is in staat om een backdoor te openen, informatie te stelen en HTML in de browser te injecteren.

Seculert denkt dat de malware op dit moment vooral werd ingezet om slachtoffers te bespioneren, maar sluit niet uit dat dit de eerste fase van een veel bredere aanval is.

Reacties (3)
18-04-2013, 12:12 door yobi
adduser WINDOWS
adduser: Only root may add a user or group to the system.

Gelukkig werkt dit niet bij mij.
Mensen met Backtrack of Kali natuurlijk wel opgepast!
18-04-2013, 14:37 door Anoniem
Door yobi: adduser WINDOWS

Mensen met Backtrack of Kali natuurlijk wel opgepast!
Hoezo zouden mensen met B|T of Kali juist hiervoor moeten oppassen?

1. ZWZ degenen die deze distro's gebruiken, zijn geen "buurman met de nieuwe pc" mensen en zien vast wel dat er iets niet in de haak is zodra er een "WINDOWS" gebruiker is aangemaakt.

2. Alhoewel het niet in de artikel expliciet in het artikel is vermeldt, kan je uit de context halen dat het alleen windows pc's infecteert ( het maakt een "WINDOWS" gebruiker aan), dus linux gebruikers zijn buiten schot.
18-04-2013, 16:56 door AapNootMies
Zou Yobi nou gewoon een fipo zonder inhoud en kennis zijn, of ligt het aan mij? Die reactie slaat in iedergeval als een kut op een pannenkoek.


Maargoed; heeft iemand al een kopietje van de malware weten te vinden? Ik wil hem wel hebben. Malware die nog in ontwikkeling is altijd de moeite waard om te analyseren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.