image

PRISM e-mail bevat Java-backdoor voor overheden

zaterdag 6 juli 2013, 11:41 door Redactie, 4 reacties

Overheidsinstanties in verschillende landen zijn het doelwit van een opmerkelijke phishingaanval geworden waarbij de aanvallers alle commotie rondom het PRISM-surveillanceprogramma aangrijpen om computers waar Java op draait met malware te infecteren. In tegenstelling tot andere aanvallen, die een exploit voor Word of Adobe Reader gebruiken, wordt er nu een Java-bestand ingezet.

De e-mail met het onderwerp 'Obama's Data Harvesting Program and PRISM' bevat drie bestanden. Twee onschuldige PDF-documenten en een jar-bestand. Dit jar-bestand is in werkelijkheid een Java-backdoor die op Windows, Mac OS, Linux, FreeBSD, OpenBSD en Solaris werkt. De enige vereiste is wel dat het slachtoffer Java heeft geïnstalleerd, anders kan het bestand niet worden geopend.

Slachtoffers
Via de backdoor hebben de aanvallers volledige toegang tot het systeem. Volgens anti-virusbedrijf Symantec zijn de meeste infecties van de Java-backdoor in de Verenigde Staten aangetroffen, hoewel ook Canadese, Australische en Europese overheidsinstanties door de malware besmet zijn geraakt.

Reacties (4)
06-07-2013, 22:00 door Anoniem
MinusPlusminus Mac Os X

Er zijn wat meer (vermoedelijke) vereisten om dit op de Mac werkend te krijgen en dat geldt misschien deels ook voor andere Os-en:

1) Ge-deactiveerde extensie weergave helpt goed (in Finder voorkeuren extensie weergave dus weer activeren)
2) Files aanklikken (in de hersenpan voorkeuren klikgrage vingers blokkeren)
3) Java activeren (! Java Voorkeuren), utility directory java-voorkeuren voor java 6 en eerder, voor java 7 (Lion / Mountain Lion) in systeem voorkeuren paneel
4) Knoepers van waarschuwings pop-up's negeren (! About file quarantine in OS X , http://support.apple.com/kb/ht3662) , ..

5) Op deze manier ben je al dicht bij de routine van een regulier installatie proces


Risico minimaliseren / voorkomen door o.a. / bijv. :

- Java te deactiveren,
- Java de-installeren
- en andere diverse manieren om de werking van Java creatief te saboteren (voor als je het niet kan de-installeren , java 6 en eerder, Os X Snow Leopard en eerder).
- 'altijd' goed : webplugin de-activeren alsook de automatische uitvoer van applets, maar vermoedelijk niet van toepassing hier want bestand binnengekomen via een mailclient.


& Voor de Mac gebruiker die ook nog eens van (functionele) gekkigheid en experiment houdt, weinigen hier (?),
heb ik nog wel een heel simpele (.jar / .class file ) twip voor als je ook even 'klaar bent met java' (oplossing net bedacht en aan het testen).
07-07-2013, 00:13 door AapNootMies
Door Anoniem: MinusPlusminus Mac Os X

Er zijn wat meer (vermoedelijke) vereisten om dit op de Mac werkend te krijgen en dat geldt misschien deels ook voor andere Os-en:

<KNIP>

Niet alleen zijn de java implementaties voor OSX niet persee vatbaar; het zijn immers implementatie bugs, een nog veel groter punt; al zou je op een mac uit de java sandbox breken en code kunnen uitvoeren: Dat moet dan wel mac specifieke code zijn.
08-07-2013, 09:44 door Anoniem
<sarcastic>
Succes mac-boys, negeer lekker de waarschuwing en klik er lekker op los, jullie OS is toch niet vatbaar...
</sarcastic>
09-07-2013, 16:29 door dnmvisser
Heel gangbaar ook die JAR e-mail attachments.
Als je daar op klikt verdien je het ook om besmet te worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.