Google waarschuwt voor man-in-the-middle-aanval met "Adobe-updates"
Google waarschuwt Chrome-gebruikers voor een man-in-the-middle-aanval waarbij slachtoffers zogenaamde updates van Adobe krijgen aangeboden die in werkelijkheid malware zijn. Bij de aanval maken de aanvallers gebruik van de controle die Chrome uitvoert op de aanwezigheid van een 'captive portal'. Wanneer Google Chrome start kijkt de browser eerst of er geen captive portal aanwezig is. Dit zijn legitieme pagina's die worden gebruikt om toegang tot het netwerk te krijgen. Zo moet een gebruiker bijvoorbeeld eerst aangeboden voorwaarden accepteren voordat die netwerktoegang krijgt. Wifi-netwerken in hotels of op luchthavens maken er bijvoorbeeld gebruik van.
Chrome stuurt voor deze controle een HTTP request naar een hardcoded url om de redirect naar de captive portal mogelijk te maken. Bij de man-in-the-middle (mitm)-aanvallen die Google zag wordt het verkeer van slachtoffers onderschept en doorgestuurd naar een bijna lege landingspagina. Deze pagina laat gebruikers weten dat ze ontbrekende plug-ins moeten installeren om de inhoud van de pagina te kunnen bekijken. Wanneer het slachtoffer op de installatieknop klikt wordt die doorverwezen naar een ogenschijnlijk legitieme website. In werkelijkheid gaat het om een malafide website die automatisch het bestand AdobePlugins.exe downloadt.
Het .exe-bestand, dat met een geldig certificaat uitgegeven door GlobalSign is gesigneerd, is een malware downloader die de daadwerkelijke malware op het systeem downloadt. Het gaat onder andere om een backdoor waarmee de aanvallers controle over het gecompromitteerde systeem krijgen. Volgens Google zijn de mitm-aanvallen mogelijk doordat de aanvallers edge devices op de netwerken van slachtoffers konden compromitteren. Om welke edge devices het precies gaat en hoe die worden gecompromitteerd laat het techbedrijf niet weten.
De aanvallen zijn volgens Google het werk van een aan China gelieerde groep en gericht tegen diplomaten in Zuidoost-Azië en "andere entiteiten wereldwijd". In de waarschuwing heeft Google verschillende Indicators of Compromise gegeven waarmee organisaties en gebruikers kunnen kijken of ze doelwit zijn geweest of toegang tot gebruikte domeinen en ip-adressen kunnen blokkeren.
Had dit niet ook vanaf elk moment via internet kunnen gebeuren?
Enige probleem is dat er mogelijk geen waarschuwing is voor onversleutelde HTTP?
(Of versleuteld naar adobe-updater.co of iets dergelijks)
Is het dan teveel moeite om naar de website van app X te gaan, en daar te kijken of je via de officiële weg de boel update?
Of is iedereen te lui tegenwoordig? Na alle campagnes zou iedereen toch beter moeten weten...................... Toch??????
Is het dan teveel moeite om naar de website van app X te gaan, en daar te kijken of je via de officiële weg de boel update?
Of is iedereen te lui tegenwoordig? Na alle campagnes zou iedereen toch beter moeten weten...................... Toch??????
Het probleem is dat veel oudere niet technisch onderlegden etc etc alles slikken voor zoetekoek.
Het is voor hen alsof je vraag of ze weten of de distributieriem van de auto is versleten of niet
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ervaren Chief Information Security Officer (CISO)
Provincie Noord-Holland
Ben jij een ervaren CISO? En wil jij jouw kennis in een andere organisatie delen? Help ons dan onze informatieveiligheid verder te vergroten. Als CISO speel je een sleutelrol in het veilig houden van gegevens en systemen die essentieel zijn voor een leefbare, veilige en duurzame provincie.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?