image

Onbekende malware-familie al sinds 2007 gebruikt

dinsdag 3 mei 2016, 14:56 door Redactie, 4 reacties

Onderzoekers hebben een onbekende malware-familie ontdekt die zich via social engineering verspreidt en al sinds 2007 bij aanvallen wordt ingezet. Dat meldt het Amerikaanse beveiligingsbedrijf Palo Alto Networks. Om de malware te verspreiden worden er PowerPoint- en Word-documenten gebruikt.

De documenten, die onder andere via een gehackt Gmail-account werden verstuurd, bevatten weer een zichzelf uitpakkend archiefbestand (SFX) dat de malware bevat. Om de infectie te laten slagen moet de gebruiker dit kwaadaardige bestand zelf uitvoeren. Eenmaal actief kan de malware, die Infy wordt genoemd, toetsaanslagen opslaan en cookies en wachtwoorden in verschillende browsers stelen. Onder andere een Israëlische industriële organisatie was het doelwit van de aanvallers, die volgens het beveiligingsbedrijf nog steeds actief zijn.

Image

Reacties (4)
03-05-2016, 15:12 door Erik van Straten
In [1] en [2] staat dat het om Iraanse malware zou gaan (Redactie noemt dat nog niet in de versie van het artikel van 3 mei 2016, 14:56).

[1] http://researchcenter.paloaltonetworks.com/2016/05/prince-of-persia-infy-malware-active-in-decade-of-targeted-attacks/
[2] http://www.nu.nl/internet/4256300/iraanse-malware-blijft-tien-jaar-lang-radar.html
03-05-2016, 15:26 door [Account Verwijderd]
[Verwijderd]
03-05-2016, 17:05 door Anoniem
Door Erik van Straten: In [1] en [2] staat dat het om Iraanse malware zou gaan (Redactie noemt dat nog niet in de versie van het artikel van 3 mei 2016, 14:56).

A. Maakt het uit waar de malware vandaan komt?
B. Kun je zeker weten waar de malware vandaan komt?
C. Palo zegt "originating from Iran". Dat is iets anders dan Iranian Malware.

my -2- cents.
03-05-2016, 21:22 door Erik van Straten
03-05-2016, 17:05 door Anoniem: A. Maakt het uit waar de malware vandaan komt?
Ja.

03-05-2016, 17:05 door Anoniem: B. Kun je zeker weten waar de malware vandaan komt?
Nee. Overigens weet ik niets meer van deze casus anders dan vermeld in het artikel van Palo Alto. Echter de redactie schrijft nergens dat zij aanvullende informatie heeft dat de malware niet uit Iran afkomstig zou zijn.

03-05-2016, 17:05 door Anoniem: C. Palo zegt "originating from Iran". Dat is iets anders dan Iranian Malware.
OK ik laat me trollen.

Delfts Blauw komt uit Delft. Hoezo is Iraanse malware iets anders dan malware afkomstig uit Iran?

De redactie neemt, normaal gesproken, berichtgeving van beveiligingsonderzoekers redelijk volledig over. Door dat deze keer niet te doen, om wat voor reden dan ook, verdraait zij de informatie van deze onderzoekers. Als de redactie denkt dat deze informatie niet klopt, dient zij uit te leggen waarom niet.

Dit komt de betrouwbaarheid van de berichtgeving op deze site niet ten goede. Ik, en naar ik aanneem andere lezers, komen hier niet om halve waarheden te lezen.

Overigens is de redactie van security.nl, voor zover ik kan vinden, de enige die de associatie met Iran meent te moeten weglaten bij het aanhalen van de berichtgeving m.b.t. deze publicatie van Unit 42 van Palo Alto networks. Googlen naar "palo alto" infy malware levert zo te zien alleen links naar pagina's op waarin de mogelijke associatie met Iran wordt genoemd, waaronder [1], [2] en [3] (en er komen nog steeds nieuwe sites bij).

[1] http://tweakers.net/nieuws/110955/beveiligingsbedrijf-ontdekt-vermoedelijk-tien-jaar-oude-malwarefamilie.html
[2] http://www.theregister.co.uk/2016/05/03/iranan_cyberspy_tool_infy_exposed/
[3] http://m.telegraaf.nl/digitaal/article/25716701/malware-blijft-tien-jaar-onder-de-radar
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.