Nieuws
image

Microsoft: universiteitspersoneel doelwit van aanval met .pdf.lnk-bestand

vrijdag 19 januari 2024, 16:45 door Redactie, 7 reacties

Medewerkers van universiteiten en onderzoeksinstellingen in onder andere België en Frankrijk die zich bezighouden met het Midden-Oosten zijn het doelwit van gerichte aanvallen, waarbij .pdf.lnk-bestanden worden gebruikt om systemen met malware te infecteren, zo stelt Microsoft in een analyse.

De aanvallen zijn volgens het techbedrijf het werk van een vanuit Iran opererende groep die het 'Mint Sandstorm' noemt. De groep doet zich tegenover doelwitten bijvoorbeeld voor als een gerenommeerde. journalist van een bekend nieuwsmedium die input vraagt voor een artikel. Daarbij maakt de groep gebruik van gespoofte e-mailadressen die lijken op die van de persoon die ze imiteren, maar ook gecompromitteerde e-mailaccounts van personen die de groep nabootst worden gebruikt.

De eerste berichten die de groep uitwisselt bevatten geen malafide content. Na verloop van tijd stuurt de groep een artikel of document dat het doelwit is gevraagd om te controleren. Het gaat hier om een .rar-bestand dat een malafide .pdf.lnk-bestand bevat. Windows laat standaard geen bestandsextensies zien, waardoor doelwitten alleen zien dat het bestand op .pdf lijkt te eindigen. Wanneer doelwitten het lnk-bestand openen wordt er malware gedownload. In de analyse geeft Microsoft niet het advies om het verbergen van bestandsextensies uit te schakelen, maar linkt wel naar een MITRE-pagina waar dit wordt aangeraden.

Image

Reacties (7)
Reageer met quote
19-01-2024, 17:20 door Anoniem
Verbergen van extenties. Wie dat ooit een goed idee vond…
Reageer met quote
19-01-2024, 19:16 door Anoniem
Dat Microsoft dubbele bestandsextentie's niet laat zien, is bij mij al sinds windows 95 het probleem. Ik erger me daar als bijna 30 jaar aan en als ik windows zou gebruiken, zou ik daar toch werk van maken door verhaal te halen. microsoft (een verschikkelijk bedrijf) houdt bewust intakt dat mensen gevaar lopen. Ze hebben in mijn ogen nooit verteld waarom dit verborgen moet blijven (wat je overigens wel zelf aan kan zetten, beter was andersom geweest). Ik vind dat dubbele bestand extentie's mede microsoft verantwoordelijk !
Reageer met quote
19-01-2024, 21:32 door Anoniem
Door Anoniem: Verbergen van extenties. Wie dat ooit een goed idee vond…

Door Anoniem: Dat Microsoft dubbele bestandsextentie's niet laat zien, is bij mij al sinds windows 95 het probleem. Ik erger me daar als bijna 30 jaar aan en als ik windows zou gebruiken, zou ik daar toch werk van maken door verhaal te halen. microsoft (een verschikkelijk bedrijf) houdt bewust intakt dat mensen gevaar lopen. Ze hebben in mijn ogen nooit verteld waarom dit verborgen moet blijven (wat je overigens wel zelf aan kan zetten, beter was andersom geweest). Ik vind dat dubbele bestand extentie's mede microsoft verantwoordelijk !

Zoals gewoonlijk richt MS zich op de lowest common denominator gebruiker. De mensen die thuis met windows werken, maar niet met computers om kunnen gaan. De basale knoppen-drukkers.
Niet op de professionele gebruiker.
Het idee dat bij MS heerst(te) is dat een gebruiker aan het icoontje wel kan zien wat voor type bestand het is. Een extensie is alleen maar verwarrend voor de "L.C.D."-gebruiker. Dus onderdrukkken ze die.

Vanaf het begin was dat een dom idee. Wat criminelen uitnodigde om windows gebruikers met gemanipuleerde bestandsnamen aan te vallen.
Het is dan ook niet een revolutionair nieuw probleem dat hier gemeld wordt.
Dit kon al veel langer.

Oud nieuws.
Next!

In de analyse geeft Microsoft niet het advies om het verbergen van bestandsextensies uit te schakelen, maar linkt wel naar een MITRE-pagina waar dit wordt aangeraden.

Je zou als bedrijf maar eens toegeven dat je jaren geleden een domme beslissing gemaakt hebt en al je gebruikers daat nu door kwetsbaar zijn.
In de VS zou je dat een class-action rechtzaak opleveren. (want je hebt dan schuld bekend)

Als MS echt om haar gebruikers gaf, dan zou ze het verbergen van bestand-extenties bij de eerstvolgende (security) update op afstand uit zetten.
Reageer met quote
20-01-2024, 13:44 door Anoniem
Moet er bij mensen dan niet een lampje gaan branden als je ineens wel een extensie ziet?
Reageer met quote
21-01-2024, 11:25 door Briolet
De dubbele extensie is minder het probleem dan dat het bestand uitgevoerd kan worden.

Op de mac weet ik niet anders dat Gatekeeper dit soort dingen met onbekende herkomst altijd blokkeert en de gebruiker toestemming vraagt om te mogen uitvoeren. Bij kritische bestanden moet het zelfs een administrator het uitvoeren met zijn wachtwoord bevestigen.
Reageer met quote
21-01-2024, 16:17 door Tintin and Milou
Door Anoniem: Verbergen van extenties. Wie dat ooit een goed idee vond…
Door Anoniem: Dat Microsoft dubbele bestandsextentie's niet laat zien, is bij mij al sinds windows 95 het probleem. Ik erger me daar als bijna 30 jaar aan en als ik windows zou gebruiken, zou ik daar toch werk van maken door verhaal te halen. microsoft (een verschikkelijk bedrijf) houdt bewust intakt dat mensen gevaar lopen. Ze hebben in mijn ogen nooit verteld waarom dit verborgen moet blijven (wat je overigens wel zelf aan kan zetten, beter was andersom geweest). Ik vind dat dubbele bestand extentie's mede microsoft verantwoordelijk !
Omdat dit ook helemaal niets uit maakt voor een eind gebruiker. dubbele extensies zegt hem namelijk helemaal niets, vanuit technisch oogpunt. Zoals het icoontje maar correct is, is dit vanuit de gebruiker OKE.

Door Anoniem: Moet er bij mensen dan niet een lampje gaan branden als je ineens wel een extensie ziet?
Simpel antwoord NEE, omdat een gebruiker helemaal geen kennis van zaken hiervan heeft. Een extensie zegt hem letterlijk niets namelijk.
Reageer met quote
21-01-2024, 20:39 door Anoniem
Dat dit nog kan, is Microsofts eigen domheid die hen nu dwingt dit te schrijven. Waarom moesten die extensies per sé worden verborgen? Jarenlang heeft men mij uitgelachen, omdat ik daar razend om was. Nu na 25 jaar haal ik mijn gelijk. Het streven om van een pc-systeem een mac te willen maken, wreekt zich. Verberg niet wat een security-feature is - bouw die verstopperspelletjes in windows af in de plaats van het alsmaar erger en enger te maken!
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search