It-personeel doelwit van malafide versies WinMTR, Zenmap en RVTools
Een groep criminelen heeft het voorzien op it-personeel door malafide versies van allerlei tools te verspreiden. Daarbij zou Microsoft Bing in sommige gevallen naar de malafide versies wijzen. Dat laten beveiligingsexperts weten. De aanvallers maken gebruik van typosquatting, waarbij domeinnamen worden geregistreerd die identiek zijn aan het origineel, maar net iets anders zijn gespeld of een andere extensie hebben. Vervolgens wordt via een nagemaakte website een besmette versie van de software aangeboden. Deze domeinen verschijnen in de zoekresultaten van Microsoft Bing.
Bij de nu ontdekte campagne gaat het in ieder geval om WinMTR, Zenmap en RVTools, maar onderzoekers hebben nog veel meer malafide domeinen ontdekt met namen van bekende software. Vorige week werd al gemeld dat er een malafide versie van RVTools was gebruikt bij aanvallen. Securitybedrijf ZeroDay Labs claimde toen dat via de officiële website van RVTools een getrojaniseerde versie was verspreid. Dat blijkt niet het geval. Het gaat hier ook om een geval van typosquatting. ZeroDay Labs heeft het artikel waarin de claims werden gedaan zonder verdere vermelding inmiddels verwijderd.
RVTools is een tool voor het beheren van VMware-omgevingen. Daarnaast zijn er soortgelijke websites voor WinMTR en Zenmap ontdekt. WinMTR is een opensourceproject dat een visuele interface voor Matt's / My traceroute biedt. Het wordt onder andere gebruikt voor het oplossen van netwerkproblemen. Zenmap is een grafische gebruikersinterface voor netwerkscanner nmap.
De besmette versies die via de typosquatting domeinen worden aangeboden bevatten de Bumblebee-malware. Deze malware fungeert als een "downloader" en kan aanvullende malware op het systeem downloaden, zoals ransomware. Verschillende ransomware-aanvallen zouden via de Bumblee-malware zijn begonnen. Onderzoeker German Fernanded laat via X weten dat hij via Microsoft Bing naar RVTools zocht en Copilot vervolgens het malafide domein van RVTools als antwoord noemde. "Zoals we al zo vaak hebben gezegd, vertrouw niet blindelings de advertenties/suggesties van welke pagina dan ook, zoekmachine of AI, wees voorzichtig waarop je klikt, onderzoek, bevestig."
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Online Tech event @Rijksoverheid #security
Benieuwd hoe het is om als securityspecialist bij de Rijksoverheid te werken? Tijdens dit online event op 2 juni hoor je hoe security-specialisten bijdragen aan de veiligheid van Nederland, wat hun werk inhoudt en welke vacatures er zijn. Meld je aan voor een gratis ticket.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?