NCSC publiceert lijst met door Flubot-malware gebruikte domeinnamen
Het Nationaal Cyber Security Centrum (NCSC) heeft op GitHub een lijst met domeinnamen gepubliceerd waarvan de Flubot-malware gebruikmaakt. Organisaties kunnen met deze lijst infecties op de telefoons van medewerkers opsporen of nieuwe besmettingen voorkomen.
Vorige maand werd de Flubot-malware via malafide sms-berichten onder Nederlandse Androidgebruikers verspreid. In de berichten, die van een pakketbezorger afkomstig leken, werd gesteld dat de ontvanger door het installeren van de gelinkte app zijn of haar pakket kon volgen. In werkelijkheid bevatte de app de Flubot-malware.
FluBot is een banking Trojan die onder andere gegevens probeert te stelen om bankfraude mee te kunnen plegen. Eenmaal geïnstalleerd door de gebruiker kan FluBot sms-berichten onderscheppen en versturen, het adresboek uitlezen, telefoonnummers bellen en Google Play Protect uitschakelen. Het voornaamste doel is echter phishing. De malware kijkt welke applicaties erop het toestel geïnstalleerd staan.
In het geval van bankapplicaties zal de FluBot hiervoor een aparte phishingpagina downloaden. Zodra het slachtoffer de legitieme bank-app start plaatst FluBot de phishingpagina hierover. Inloggegevens die gebruikers vervolgens op de phishingpagina invullen worden naar de aanvaller gestuurd. Daarnaast kan de malware phishingpagina's voor creditcardgegevens tonen en besmette toestellen nieuwe sms-berichten laten versturen.
KPN liet tegenover Security.NL weten dat het door de malware een sterke toename zag in het aantal klanten met een sms-piek. Normaliter krijgt de telecomprovider met enkele tientallen klanten per week te maken waarbij er een piek in het sms-gebruik zichtbaar is. Na de uitbraak van de FluBot-malware ging het vorige week om bijna vijfhonderd klanten.
Eerder meldde securitybedrijf ThreatFabric tegenover Security.NL dat het de infecties in Nederland met duizenden zag toenemen. De Fraudehelpdesk laat aan Security.NL weten dat het in mei 4700 meldingen ontving over verdachte berichten van een pakketdienst. Een aantal van deze personen installeerden de malafide app en waren vervolgens honderden euro's kwijt aan sms-kosten.
De lijst van het NCSC bevat een overzicht van domeinnamen waar de malware mee communiceert. Het gaat om duizenden domeinnamen eindigend op .su, .ru en .cn. "Organisaties kunnen deze lijst gebruiken om infecties te detecteren en/of blokkeren en waar nodig actie ondernemen", aldus de overheidsdienst.
Zelfs die Android apparaten worden niet besmet door de sms. Het is de gebruiker zelf die de app installeert en er eerst voor kiest om de beveiliging uit te zetten om hem buten de vertrouwde appstore om, te kunnen installeren.
Het NCSC verwijst voor aanvullende informatie over detectieoplossingen naar:
https://www.ncsc.nl/documenten/publicaties/2019/mei/01/handreiking-voor-implementatie-van-detectie-oplossingen
Een goede handreiking, zeer lezenswardig, maar geschreven voor netwerkbeveiliging.
Op Github is te lezen dat de Seed Value voor Nederland 2931 is, en daar staan exact 5000 (!!) malafide domeinnamen in vermeld, eindigend op .ru .cn en .su
https://github.com/NCSC-NL/flubot
Deze malafide domeinnamen moeten dan door alle systeembeheerders worden ingevoerd in hun IDS/IPS ("Snort rule") of worden gematched met de loggegevens van een SIEM.
Kunnen deze (malafide) domeinnamen ook direct op een Android smartphone ergens uitgelezen worden, met andere woorden is er een logbestand met bezochte domeinnamen op een Android apparaat lokaal opgeslagen? Volgens mijn info alleen als "Web & App Activity" op "on" staan, en die heb ik op "paused" gezet.
https://support.google.com/accounts/answer/54068?hl=en&co=GENIE.Platform%3DAndroid&oco=1
Wie weet hier meer over?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.