Criminelen gebruiken unicode-braillekarakter voor verbergen .exe-extensie
Cybercriminelen maken gebruik van een unicode-braillekarakter voor het verbergen van .exe-extensies, waardoor gebruikers eerder malafide bestanden openen, zo laat cybersecuritybedrijf Mandiant weten. Voor het verspreiden van de malware hebben de aanvallers verschillende zogenaamde "AI-videogenerator" websites opgezet. Deze websites, die gebruikers laten geloven dat ze via AI video's kunnen genereren, worden via advertenties op Facebook en LinkedIn gepromoot.
Zodra gebruikers op de malafide websites zijn en een aantal stappen doorlopen voor het genereren van video's wordt een zip-bestand aangeboden. Dit zip-bestand bevat weer een uitvoerbaar bestand voorzien van dubbele extensie, namelijk .mp4.exe. Om ervoor te zorgen dat de .exe-extensie niet zichtbaar is maken de aanvallers gebruik van het "braille pattern blank" karakter. Dit is een speciaal whitespace karakter van het Braille Patterns unicode-block. Deze unicode-karakters worden gebruikt voor het weergeven van braillepatronen.
Het .exe-bestand is daarnaast voorzien van het standaard Windows .mp4-icoon. Wanneer gebruikers het exe-bestand openen verschijnt er een foutmelding, terwijl in de achtergrond malware wordt geïnstalleerd. Deze malware steelt inloggegevens, cookies, creditcardgegevens en Facebook-informatie. Mandiant adviseert gebruikers om voorzichtig te zijn met het gebruik van AI-tools en de legitimiteit van de websites in kwestie goed te controleren.
https://unicode-explorer.com/articles/space-characters
network.IDN_show_punycode = true
in about:config in Firefox dit ondervangt.
Weet niet hoe dit bij andere browsers zit. Misschien kan iemand hier wat meer licht op schijnen?
Maar even zonder dollen.
Bedankt voor dit artikel, weer wat geleerd op securitygebied!
Maar even zonder dollen.
Bedankt voor dit artikel, weer wat geleerd op securitygebied!
:))
Grappig, mijn grootmoeder heeft nog typeles gehad met plastic dopjes op de toetsen waarop de brailletekens stonden. Als een letter genoeg ingeoefend was, ging er een plastic dopje op, zo kon je ook meteen braille leren, was het idee geloof ik.
Maar goed, interpunctie is belangrijk.
Vertrouw nooit op de bestandsnaam enkel de extensie.
Tenzij je of IoC'in alert regels moet maken of je wit verdiepen in de speifieke aanval is dat alle kennis hierover die je moet hebben.
Vertrouw nooit op de bestandsnaam enkel de extensie.
Tenzij je of IoC'in alert regels moet maken of je wit verdiepen in de speifieke aanval is dat alle kennis hierover die je moet hebben.
Ja, maar OS-ontwikkelaars vonden het zo'n handig idee om gebruikers niet meer op te zadelen met extensies. Die waren zooooo verwarrend voor de gebruiker, dat ze die maar uitgezet hebben.
What could possibly go wrong.
Net zoals ze nu in browsers de http(s)-voorloop uitzetten.
Het is gewoon wachten op een slimme jongen die het gaat misbruiken.
Niet of het misbruikt wordt, maar wanneer.
7 bit is niet de oplossing, in de jaren 90 gebruikte ik al ALT+255
In bovenstaand plaatje zie het het idd nog wel, maar als je kolom smaller is ingesteld valt de .exe extensie uit beeld en door de hoeveelheid wit achter .mp4, kom je dan niet op het idee om naar rechts te scrollen om de hele naam te zien.
Wat me alleen verbaasd is dat je bij het openen geen waarschuwing krijgt. Ik moet op mijn mac altijd een wachtwoord intikken als ik een applicatie voor het eerst wil gebruiken. En omdat ik een useraccount gebruik, moet dat het wachtwoord zijn van een administrator account.
7 bit is niet de oplossing, in de jaren 90 gebruikte ik al ALT+255
In alle andere (UNIX-achtige) systemen heb je gewoon een executable vlag, en hebben bestanden geen extensies.
Wat betreft Unicode, als mensen nou graag emoji in hun bestandsnamen gebruiken, laat ze.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Online Tech event @Rijksoverheid #security
Benieuwd hoe het is om als securityspecialist bij de Rijksoverheid te werken? Tijdens dit online event op 2 juni hoor je hoe security-specialisten bijdragen aan de veiligheid van Nederland, wat hun werk inhoudt en welke vacatures er zijn. Meld je aan voor een gratis ticket.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?