image

Belgische en Nederlandse WinRAR-gebruikers doelwit aanval

maandag 10 oktober 2016, 11:48 door Redactie, 10 reacties

Belgische en Nederlandse gebruikers van de archiveringssoftware WinRAR zijn deze zomer het doelwit van een groep cyberspionnen geworden, zo meldt het Russische anti-virusbedrijf Kaspersky Lab vandaag. De groep wordt StrongPity genoemd en zou interesse in versleutelde data hebben.

De cyberspionnen hebben afgelopen zomer via misleidende domeinnamen besmette versies van WinRAR en de versleutelingssoftware TrueCrypt verspreid. Links naar de misleidende domeinnamen werden vervolgens op de officiële Benelux support- en registratiesite voor RAR & WinRAR en andere websites geplaatst. Zestig bezoekers van deze website werden vervolgens naar de misleidende domeinnaam doorgestuurd, voornamelijk uit België, alsmede ook Nederland.

De aanval op Italiaanse WinRAR-gebruikers had meer succes. Via de Italiaanse WinRAR-supportsite werden meer dan 600 gebruikers naar de kwaadaardige website doorgestuurd en raakten zo geïnfecteerd. Een soortgelijke aanval werd ook met de populaire versleutelingssoftware TrueCrypt uitgevoerd. De aanvallers registreerden een domeinnaam die op die van TrueCrypt lijkt en boden daarop een besmette versie aan. Via de besmette versies van WinRAR en TrueCrypt raakten uiteindelijk meer dan duizend computers met malware besmet.

Deze malware heeft het vervolgens op verschillende programma's voorzien, zoals putty, FileZilla, WinSCP, de Windows Remote Desktop-client en mRemoteNG, een programma om op afstand computers te beheren. Daarnaast kan de malware toetsaanslagen opslaan en andere gegevens stelen. Volgens Kaspersky Lab moeten downloadsites die geen PGP of digitale signeercertificaten gebruiken, zodat hun gebruikers de authenticiteit van de aangeboden downloads kunnen controleren, opnieuw bekijken of dit toch niet noodzakelijk is.

Image

Reacties (10)
10-10-2016, 13:15 door Chicago2013
WinRAR heb ik gewoon gekocht, geen last van deze trammelant.Wordt zo vaak gebruikt, en je loopt er niet op leeg.

Bart
10-10-2016, 13:32 door Erik van Straten
Volgens Kaspersky Lab moeten downloadsites die geen PGP of digitale signeercertificaten gebruiken, zodat hun gebruikers de authenticiteit van de aangeboden downloads kunnen controleren, opnieuw bekijken of dit toch niet noodzakelijk is.
Zinloos! Dat helpt geen zier tegen kwaadaardige sites, en bovendien horen niet downloadsites digitale handtekeningen te zetten, maar de makers van de betreffende software!

Gebruikers die software downloaden horen zo security-aware te zijn dat ze:
1) Nagaan of de software een digitale handtekening heeft;
2.a) Zo ja, wie die gezet heeft;
2.b) Zo nee, uitzoeken of ze een authentiek exemplaar van de software hebben gedownload. Door te Googlen kun je er meestal wel achter komen of software van een digitale handtekening hoort te zijn voorzien.

TrueCrypt v7.1a (dat is, bij mijn weten, de laatste volledig werkende officiële versie) heeft gewoon een Authenticode handtekening, en dat was allesbehalve de eerste versie daarmee (in elk geval versie 4.3 van 20070503 had al een Authenticode signature).

De laatste volledig werkende versie van TrueCrypt vind je in [1], hashes daarvan in [2] en specfiek voor "TrueCrypt Setup.exe" in [3].

Als een bestand geen digitale handtekening heeft, upload het dan naar VirusTotal.com; authentieke exemplaren hebben vaak veel positieve votes (stemmen) en 0 of enkele hits (vaak false positives, tenzij er sprake is van bijgesloten adware/malware).

[1] https://www.grc.com/misc/truecrypt/truecrypt.htm
[2] https://defuse.ca/truecrypt-7.1a-hashes.htm
[3] https://www.virustotal.com/en/file/e95eca399dfe95500c4de569efc4cc77b75e2b66a864d467df37733ec06a0ff2/analysis/
10-10-2016, 14:14 door SomeDuder
Bijzonder dat dit programma nog steeds bestaat... Gebruik nu al jaren 7zip, een open-source alternatief wat ook nog beter in gebruik is.
10-10-2016, 14:33 door Anoniem
Door SomeDuder: Bijzonder dat dit programma nog steeds bestaat... Gebruik nu al jaren 7zip, een open-source alternatief wat ook nog beter in gebruik is.
Inderdaad bijzonder dat er meer dan 1 software aanbieder is. Windows kan vervangen worden door Linux, MacOSX door Chrome OS, oh nee, dan moet Chrome OS ook vervangen worden door Linux, en Linux door WebOS want dat is nieuwer. Gaap.
10-10-2016, 15:11 door Erik van Straten
Door SomeDuder: Bijzonder dat dit programma nog steeds bestaat... Gebruik nu al jaren 7zip, een open-source alternatief wat ook nog beter in gebruik is.
Helaas voorziet de auteur (Igor Pavlov) 7-Zip niet van een Authenticode handtekening. Daardoor is het lastig om vast te stellen of je een authentieke versie hebt waar geen malware of adware bijgepakt is (door een ander dan de auteur zelf).

Dat VirusTotal van de (bij mijn weten) laatste versie v16.04, van zowel de 32-bit [1] als de 64-bit [2] .exe installer, aangeeft dat de daar volgens virusscanner "Antiy-AVL" in zou zitten: "GrayWare[AdWare]/Win32.Phorpiex.c", stelt niet gerust.

Echter de eerste submission van deze files waren resp. 2016-10-04 15:51:24 UTC en 2016-10-04 15:51:53 UTC; als het echt om malware of adware zou gaan, hadden ondertussen wel meer virusscanners alarm geslagen. Het gaat dus hoogstwaarschijnlijk om een false positive.

[1] https://www.virustotal.com/en/file/9bb4dc4fab2a2a45c15723c259dc2f7313c89a5ac55ab7c3f76bba26edc8bcaa/analysis/
[2] https://www.virustotal.com/en/file/dbb2b11dea9f4432291e2cbefe14ebe05e021940e983a37e113600eee55daa95/analysis/
10-10-2016, 17:38 door Anoniem
Door Erik van Straten:
Volgens Kaspersky Lab moeten downloadsites die geen PGP of digitale signeercertificaten gebruiken, zodat hun gebruikers de authenticiteit van de aangeboden downloads kunnen controleren, opnieuw bekijken of dit toch niet noodzakelijk is.

Zinloos! Dat helpt geen zier tegen kwaadaardige sites, en bovendien horen niet downloadsites digitale handtekeningen te zetten, maar de makers van de betreffende software!

Kasperksy zegt niet dat die checksum ook gehost moet worden op de downloadpagina zelf (want dat is inderdaad een slecht idee), maar slechts dat deze gecontroleerd moeten kunnen worden door de eindgebruiker.

Authenticode is één manier om dat te doen. Maar dat is natuurlijk ook op andere manieren (PGP WoT, repo servers) te verwezenlijken.

Overigens zijn die digitale handtekeningen allemaal leuk en aardig, maar zonder deterministische/reproducable build weet je alsnog niet 100% zeker of de betreffende source code (hetzij alleen in handen van de dev, of open source) ook zonder backdoors gecompileerd is naar de binaries die jij en ik gebruiken.
10-10-2016, 20:01 door Anoniem
Door SomeDuder: Bijzonder dat dit programma nog steeds bestaat... Gebruik nu al jaren 7zip, een open-source alternatief wat ook nog beter in gebruik is.

Dat is niet bijzonder. RAR5 is superieur aan andere veel gebruikte archivers.

7Zip is bruikbaar in bepaalde situaties, maar het is onhandig in gebruik door de slecht ontworpen niet-intuitieve GUI.
11-10-2016, 01:01 door Anoniem
Door Chicago2013: WinRAR heb ik gewoon gekocht, geen last van deze trammelant.Wordt zo vaak gebruikt, en je loopt er niet op leeg.

Bart

Is dat toevallig ook in Nederland ergens te koop?
11-10-2016, 01:51 door [Account Verwijderd] - Bijgewerkt: 11-10-2016, 01:53
[Verwijderd]
11-10-2016, 07:59 door Erik van Straten
10-10-2016, 17:38 door Anoniem:
Door Erik van Straten:
Volgens Kaspersky Lab moeten downloadsites die geen PGP of digitale signeercertificaten gebruiken, zodat hun gebruikers de authenticiteit van de aangeboden downloads kunnen controleren, opnieuw bekijken of dit toch niet noodzakelijk is.

Zinloos! Dat helpt geen zier tegen kwaadaardige sites, en bovendien horen niet downloadsites digitale handtekeningen te zetten, maar de makers van de betreffende software!

Kasperksy zegt niet dat die checksum ook gehost moet worden op de downloadpagina zelf (want dat is inderdaad een slecht idee), maar slechts dat deze gecontroleerd moeten kunnen worden door de eindgebruiker.
De zin van de redactie klopt niet, maar in het artikel waar ze naar verwijst staat toch echt:
By Kurt Baumgartner on October 3, 2016. 11:40 pm: Download sites not using PGP or strong digital code signing certificates need to re-examine the necessity of doing so for their own customers.

10-10-2016, 17:38 door Anoniem: Authenticode is één manier om dat te doen. Maar dat is natuurlijk ook op andere manieren (PGP WoT, repo servers) te verwezenlijken.
Ik heb op deze site ooit een stuk over het checken van PGP signatures geschreven, maar denk dat dit voor doorsnee gebruikers veel te lastig is. Net als het controleren van hashes. Authenticode is verre van perfect maar je hebt er in elk geval geen aparte tools voor nodig.

10-10-2016, 17:38 door Anoniem: Overigens zijn die digitale handtekeningen allemaal leuk en aardig, maar zonder deterministische/reproducable build weet je alsnog niet 100% zeker of de betreffende source code (hetzij alleen in handen van de dev, of open source) ook zonder backdoors gecompileerd is naar de binaries die jij en ik gebruiken.
Klopt, dit kan op minstens 4 manieren fout gaan:
1) Derden kunnen de source (op een kwaadaardige) manier wijzigen zonder dat de (hoofd-) auteur dit merkt;
2) Derden kunnen een certificaat aanvragen dat lastig te onderscheiden is van het certificaat van de echte auteur;
3) Derden kunnen wellicht de private key van de auteur bemachtigen;
4) Derden kunnen wellicht toegang krijgen tot de "build straat" van de ontwikkelaar(s) en daar hun aangepaste code doorheen halen (zoals bijv. ooit bij Adobe gebeurd is).

Maar dit is allemaal veel lastiger en "strafbaarder" dan malware toevoegen aan een (signed) binary installer en die voor download aanbieden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.