image

Spionagemalware lokaliseert slachtoffers via locatiedienst Mozilla

maandag 5 augustus 2019, 12:31 door Redactie, 5 reacties

Onderzoekers van antivirusbedrijf ESET hebben spionagemalware ontdekt die allerlei gegevens van systemen steelt en slachtoffers via de locatiedienst van Mozilla probeert te lokaliseren (pdf). De groep achter de aanvallen en gebruikte malware wordt Machete genoemd en is al jaren actief.

Bij de laatste aanvallen zou de groep zich op het Venezolaans leger richten. Om slachtoffers te infecteren maakt Machete gebruik van e-mailbijlagen. De e-mails bevatten een LNK-bestand, zip-bestand of een archiefbestand dat zichzelf kan uitpakken. Zodra slachtoffers de bijlage openen wordt er als afleidingsmanoeuvre een vertrouwelijk militair document getoond dat bij een eerdere aanval is buitgemaakt.

In de achtergrond is de malware echter actief. Die kan screenshots maken en toetsaanslagen opslaan, het clipboard benaderen, documenten, back-ups, PGP-sleutels en bestanden voor geografische informatiesystemen stelen, gebruikersprofielen uit verschillende browsers uitlezen en de geolocatie van het slachtoffer bepalen.

De malware verzamelt informatie over wifi-netwerken in de buurt van het slachtoffer en stuurt die naar de Mozilla Location Service. Via deze dienst is het mogelijk om aan de hand van wifi-netwerken, bluetooth-beacons en zendmasten iemands locatie te bepalen. "Het voordeel van de Mozilla Location Service is dat het geolocatie zonder een daadwerkelijk GPS biedt en nauwkeuriger dan andere methodes kan zijn", aldus de onderzoekers.

Wat ook opvalt aan de malware is dat die over een optie voor "fysieke gegevensexfiltratie" beschikt. De malware controleert of aangesloten usb-sticks over een specifieke bestandsnaam beschikken. Wanneer dit het geval is worden gegevens van het systeem naar een verborgen map op de usb-stick gekopieerd. "Dit is een manier om data te stelen in het geval een aanvaller fysieke toegang heeft tot een computer die al met Machete is besmet", voegen de onderzoekers toe.

Volgens ESET zijn er via de malware mogelijk gigabytes aan vertrouwelijke data gestolen. Wie erachter de aanvallen zit is onbekend. Naast Venezuela is de malware ook in Ecuador, Colombia en Nicaragua aangetroffen. Afsluitend laakt de virusbestrijder de aangevallen organisaties, die er niet in zijn geslaagd om het bewustzijn van hun gebruikers te verhogen en security-policies toe te passen zodat medewerkers in de eerste plaats niet in deze aanvallen trappen.

Reacties (5)
05-08-2019, 19:55 door Anoniem
Okay, weer tijd om open deuren in te trappen:

Dit is het gevolg van een feature van Mozilla waarvoor Mozilla geen opt-out biedt. MLS vergaart alle gegevens over WiFi-netwerken, GSM-antennes, Bluetooth-zenders en combineert deze met GPS.

Op de pagina https://location.services.mozilla.com:
This open service relies on a community of contributors, ranging from individuals collecting data, developers using and innovating on top of the service to organizations sharing information about their infrastructure.

Stukje verderop op dezelfde pagina:

As the owner of a WiFi access point you can learn more about opting out of this service and the privacy protections we built into the service.

En dat klinkt wel goed, opt-out. Klik je op de link naar https://location.services.mozilla.com/optout krijg je het volgende:

How do I prevent my wireless access point from being collected?
Mozilla's client applications do not collect information about WiFi access points whose SSID is hidden or ends with the string "_nomap". If you would like to prevent your WiFi access point from being reported to this service, you can rename your SSID to append "_nomap" to the name (e.g., SSID "MyWirelessNetwork" becomes "MyWirelessNetwork_nomap") or configure your SSID to be hidden.

This approach is used by other companies offering similar services. We have chosen to follow the example established by others, to make sure you do not have to learn about specific ways to opt-out of this service, but can generally signal your desire to do so and have that signal be respected by multiple services.

En daarmee gaat Mozilla m.i. dezelfde richting op als FB en Google. Ongevraagd data vergaren maar geen enkele mogelijkheid bieden om dit te stoppen. Ja, je kunt je SSID een andere naam geven... Wauw. En wie garandeert dan dat je WiFi niet geïdentificeerd en gelokaliseerd wordt? Juist. Dat dus.

My two cents...
05-08-2019, 21:08 door Anoniem
@ anoniem van 19:55

Duidelijk. Alles uit de kast voor de "corporational datagrabber' en de eindgebruiker, het product zogezegd,
blijft in de kou staan.

Alles werkt mee aan de surveillance kapitalistische vermarkting. Overheid is ook al jaren een soort bedrijf
en belijdt alleen met de mond wat zij hoort te doen.

Nepotisme en versluiering bouwen voort aan dit soort wereld en wij zijn de "sheople".
En het wordt ondertussen steeds erger. Veel gebeurt buiten beeld van de massa in de hoop,
dat men door kan gaan op de ingeslagen weg van uitbuiting van de 1% tegen de rest.

Veiligheid is meestal gestoeld op "security through obscurity", m.a.w. wat niet weet, wat niet deert.

Je moet jezelf beschermen, niemand anders doet dat anders voor jou.

J.O.
06-08-2019, 09:57 door Anoniem
Door Anoniem:... En dat klinkt wel goed, opt-out. Klik je op de link naar https://location.services.mozilla.com/optout krijg je het volgende...
Dank voor de tip!
07-08-2019, 04:21 door Anoniem
Zou de rest van FF ook verrot zijn.? We hoorden eerst nog niet zolang geleden allemaal fantastische jubel haleluja verhalen...over dat ze de goede richting op wouden gaan. Ons meer rechten geven enzo.. nu blijkt dat je dit gedatamine niet uit kan schakelen. Wat een zooi ook. Ze geven je een vinger maar nemen onze hele arm aansluitend..
08-08-2019, 13:03 door Anoniem
L.S.

Kijk maar eens hiermee op een willekeurige url: https://www.webtoolhub.com/tn561363-javascript-extractor.aspx
en je ziet dat iedere moderne webbrowser een data mining tracking machine is geworden voor de data grabbing corporations hand in foot met intelligence services. Niets meer en niets minder. Niet iedereen kan en wil terug naar een txt only linux browsertje of zoeken met een tooltje als telescope.

Je eigen non-tracking 100% privacy browser bouwen is ook ondoenlijk, het past niet in het concept van het verdienmodel. Je mag gratis hier zijn als je ons al je data geeft en wij die mogen versjacheren aan de hoogste bieders.

Geef toe, wij als eindgebruikers zijn verne*kt en goed ook. De grootgraaier heeft het makkelijk en lacht zich de b*llen uit de broek. Wise up, you three time losers - tor en tails het enige alternatief ten dele en vol onder vuur liggend. Info vrijheid op Interwebz een waar achterhoedegevecht voor de laatste der Mohikanen, maar een beetje ongelijke strijd.

#sockpuppet
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.