Nieuws
image

Backdoor in malafide Firefox-extensie werkt via Instagram

dinsdag 6 juni 2017, 15:30 door Redactie, 4 reacties

Onderzoekers van het Slowaakse anti-virusbedrijf ESET hebben een malafide Firefox-extensie ontdekt die door een groep cyberspionnen genaamd Turla is ingezet en van Instagram gebruik maakt om de controleserver te vinden. De extensie werd bij een zogeheten "watering hole" aanval ontdekt.

Hierbij hacken aanvallers websites die potentiële doelen uit zichzelf al bezoeken en plaatsen daar bijvoorbeeld een exploit die van een kwetsbaarheid in een browser of browserplug-in gebruik maakt. In dit geval werd de website van een niet nader genoemd Zwitsers beveiligingsbedrijf gehackt. In plaats van een exploit kregen bezoekers een malafide Firefox-extensie genaamd "HTML5 Encoding" aangeboden.

De extensie is in werkelijkheid een eenvoudige backdoor die vier opdrachten kan uitvoeren, namelijk het uitvoeren van willekeurige bestanden, uploaden van bestanden, downloaden van bestanden en het lezen van directories. Om verbinding met de controleserver van de aanvallers te maken maakt de backdoor gebruik van Instagram. Het adres van de controleserver wordt namelijk achterhaald aan de hand van een reactie die op het officiële Instagram-account van Britney Spears was geplaatst.

"Het feit dat Turla social media gebruikt als een manier om de controleservers te achterhalen is vrij interessant", aldus de onderzoekers. Ze merken op dat een dergelijke tactiek in het verleden ook door andere aanvallers is toegepast. Het gebruik van social media maakt het lastiger voor verdedigers. Ten eerste is het lastiger om kwaadaardig verkeer naar social media van legitiem verkeer te onderscheiden. Daarnaast geeft het aanvallers meer flexibiliteit bij het veranderen van hun controleserver alsmede het wissen van alle sporen ernaar.

In dit geval denken de onderzoekers dat het om een test gaat. Verschillende programmeerinterfaces (api's) waar de malafide extensie mee werkt zullen in toekomstige Firefox-versies namelijk verdwijnen. Ook lijkt de aanval kleinschalig te zijn opgezet. De reactie op het Instagram-account van Britney Spears leverde een Bit.ly-link op die naar de uiteindelijke url van de controleserver wees. Bit.ly houdt echter bij hoe vaak een afgekorte link is geklikt. In dit geval bleek het in totaal om 17 clicks te gaan, waaronder 3 clicks uit Nederland.

Reacties (4)
06-06-2017, 16:30 door Anoniem
In dit geval denken de onderzoekers dat het om een test gaat. Verschillende programmeerinterfaces (api's) waar de malafide extensie mee werkt zullen in toekomstige Firefox-versies namelijk verdwijnen.

Niet alleen de apis en de meeste addons zullen verdwijnen, Firefox zelf zal ook binnen afzienbare tijd verdwijnen.
Target dan een browser die wel gaat overleven en voldoende gebruikers kent.
Een test van niets, zonde van de moeite.
06-06-2017, 16:59 door Anoniem
Door Anoniem:....
Niet alleen de apis en de meeste addons zullen verdwijnen, Firefox zelf zal ook binnen afzienbare tijd verdwijnen.
Target dan een browser die wel gaat overleven en voldoende gebruikers kent.
Een test van niets, zonde van de moeite.

En dit is commentaar van niets, zonde van de moeite.
07-06-2017, 11:14 door Anoniem
De eerste poster heeft wel enigzins gelijk, Chrome gaat (helaas helaas) Firefox / mozilla vervangen. Wanneer? Het kan heel snel gaan.
07-06-2017, 14:38 door Anoniem
Firefox zal als browser steeds meer gaan lijken op Google Chrome door gebruik van dezelde (api) en andere engines als Chrome.

Trouwens de drie grote browsers zullen steeds indentieker worden. Dat ligt helaas in de lijn der verwachtingen.

Betekent dit dat Firefox op termijn (rond november) verdwijnt. Zeer wel mogelijk, maar nog niet bekend.
Dus steeds meer algemeen afgedwongen gelijkvormigheid en is iets dan onveilig dan is de impact gelijk veel groter.

Schrikwekkend, maar helaas waar we naar toe gaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search