image

VirusTotal: malware doet zich vaak voor als Adobe Acrobat en Skype

donderdag 4 augustus 2022, 14:47 door Redactie, 5 reacties

Aanvallers die slachtoffers via social engineering met malware proberen te infecteren maken hierbij vaak gebruik van pictogrammen van Adobe Acrobat en Skype, zo stelt VirusTotal op basis van eigen onderzoek. VirusTotal is de online virusscandienst van Google waarmee verdachte bestanden door tientallen virusscanners zijn te controleren.

Volgens VirusTotal is er een geleidelijke toename van de hoeveelheid malware die op visuele wijze legitieme applicaties nabootst, waarbij Skype en Adobe Acrobat het vaakst worden gebruikt. Voor het onderzoek keek VirusTotal naar geüploade malware-exemplaren en van welke pictogrammen ze gebruik maken. Naast Adobe Acrobat en Skype zijn ook VLC en 7-Zip erg geliefd bij aanvallers.

VirusTotal keek ook naar het totaal aantal geüploade bestanden met een bepaald pictogram en welk percentage daarvan malware was. Dan wordt de lijst wederom aangevoerd door Adobe Acrobat en Skype, gevolgd door 7-Zip, CCleaner en Steam. De online virusscandienst stelt dat het belangrijk is om te weten welke technieken malware toepast om er iets aan te kunnen doen (pdf).

Image

Reacties (5)
04-08-2022, 14:57 door Anoniem
Adobe is zoiezo een virus, en moet je gelijk weghalen.
04-08-2022, 15:07 door Anoniem
Veel verraderlijker is als een executable zich via het icoontje voordoet als een .pdf bestand of een map. Als ik suf ben trap ik daar soms wel in denk ik. Wel heb ik UAC maximaal staan. Misschien helpt dat in zo'n situatie.
04-08-2022, 15:58 door Anoniem
wat Adobe betreft is het gewoon spyware in samenwerking met Microsoft daar halen zij ook de info van daan .met Foxit pdf lezer heeft ik goede ervaringen .en Skype heeft ik nog nooit vertrouwde..Microsoft maakt er ook een zooitje van er zijn mensen
die hotmail als e mailclient gebruiken en all lang niet meer bestaat is outlook. com .maar Microsoft laat dit ook nog toe
ongelooflijk. ze maakten er zelf een zooitje van.ook zo als in Windows 10.oude browser in het Windows 10 zit er in gebaken
haal het er niet uit kan je gelijk opnieuw installeren......met vriendelijke groeten opa van 70 jaar ikweetnietveel haha....maar computeren blijf leuk ik zie het als een hobby.
04-08-2022, 16:38 door Anoniem
Door Anoniem: Veel verraderlijker is als een executable zich via het icoontje voordoet als een .pdf bestand of een map. Als ik suf ben trap ik daar soms wel in denk ik. Wel heb ik UAC maximaal staan. Misschien helpt dat in zo'n situatie.
Heb je niet extensies altijd zichtbaar dan?

Je zou ook een script kunnen maken die je runt die alle double extentions of rapporteert of automatisch verwijderd.
Een beetje beveiliging suite heeft dat echter al standaard erin zitten.

Of je maakt binnen group policy editor een lijst met vertrouwde programma's en alles dat niet vertrouwds is genereert dan een Restrictions notification waar zelfs een administrator niet door heen met handmatig starten tenzij gpedit aangepast wordt.

Valt onder User Configuration > Adminstrative Templates > System daarna "Run only specified Windows Applications"
zet policy op enabled druk op show en vul de exacte bestandsnamen in voor het runnen. Geen double extention die dan nog erdoor komt mits je zelf het aanklikt vanuit de GUI. Run je een app vanuit PowerShell of Command prompt of is deze gestart vanuit een ander proces dan houd je het niet tegen. Al zijn daar ook beveiliging methodes voor door proces restrictie in plaats van executable.

Als je extra secuur wilt zijn kun je een script maken dat valideert bij opstarten dat de template nog actief is en zo niet een alert genereert.
05-08-2022, 09:23 door Anoniem
CCleaner is helemaal lachwekkend.
Heb je een tool om je systeem schoon/sneler te maken, ondertussen creeer je een gat voor aanvallers.

Heb wel eens discussies gezien of dit programma niet meer kapot maakt dan de bedoeling, antwoord voor mij is nu zeker een ja.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.