Google waarschuwt voor man-in-the-middle-aanval met "Adobe-updates"
Google waarschuwt Chrome-gebruikers voor een man-in-the-middle-aanval waarbij slachtoffers zogenaamde updates van Adobe krijgen aangeboden die in werkelijkheid malware zijn. Bij de aanval maken de aanvallers gebruik van de controle die Chrome uitvoert op de aanwezigheid van een 'captive portal'. Wanneer Google Chrome start kijkt de browser eerst of er geen captive portal aanwezig is. Dit zijn legitieme pagina's die worden gebruikt om toegang tot het netwerk te krijgen. Zo moet een gebruiker bijvoorbeeld eerst aangeboden voorwaarden accepteren voordat die netwerktoegang krijgt. Wifi-netwerken in hotels of op luchthavens maken er bijvoorbeeld gebruik van.
Chrome stuurt voor deze controle een HTTP request naar een hardcoded url om de redirect naar de captive portal mogelijk te maken. Bij de man-in-the-middle (mitm)-aanvallen die Google zag wordt het verkeer van slachtoffers onderschept en doorgestuurd naar een bijna lege landingspagina. Deze pagina laat gebruikers weten dat ze ontbrekende plug-ins moeten installeren om de inhoud van de pagina te kunnen bekijken. Wanneer het slachtoffer op de installatieknop klikt wordt die doorverwezen naar een ogenschijnlijk legitieme website. In werkelijkheid gaat het om een malafide website die automatisch het bestand AdobePlugins.exe downloadt.
Het .exe-bestand, dat met een geldig certificaat uitgegeven door GlobalSign is gesigneerd, is een malware downloader die de daadwerkelijke malware op het systeem downloadt. Het gaat onder andere om een backdoor waarmee de aanvallers controle over het gecompromitteerde systeem krijgen. Volgens Google zijn de mitm-aanvallen mogelijk doordat de aanvallers edge devices op de netwerken van slachtoffers konden compromitteren. Om welke edge devices het precies gaat en hoe die worden gecompromitteerd laat het techbedrijf niet weten.
De aanvallen zijn volgens Google het werk van een aan China gelieerde groep en gericht tegen diplomaten in Zuidoost-Azië en "andere entiteiten wereldwijd". In de waarschuwing heeft Google verschillende Indicators of Compromise gegeven waarmee organisaties en gebruikers kunnen kijken of ze doelwit zijn geweest of toegang tot gebruikte domeinen en ip-adressen kunnen blokkeren.
Had dit niet ook vanaf elk moment via internet kunnen gebeuren?
Enige probleem is dat er mogelijk geen waarschuwing is voor onversleutelde HTTP?
(Of versleuteld naar adobe-updater.co of iets dergelijks)
Is het dan teveel moeite om naar de website van app X te gaan, en daar te kijken of je via de officiële weg de boel update?
Of is iedereen te lui tegenwoordig? Na alle campagnes zou iedereen toch beter moeten weten...................... Toch??????
Is het dan teveel moeite om naar de website van app X te gaan, en daar te kijken of je via de officiële weg de boel update?
Of is iedereen te lui tegenwoordig? Na alle campagnes zou iedereen toch beter moeten weten...................... Toch??????
Het probleem is dat veel oudere niet technisch onderlegden etc etc alles slikken voor zoetekoek.
Het is voor hen alsof je vraag of ze weten of de distributieriem van de auto is versleten of niet
Is het dan teveel moeite om naar de website van app X te gaan, en daar te kijken of je via de officiële weg de boel update?
Of is iedereen te lui tegenwoordig? Na alle campagnes zou iedereen toch beter moeten weten...................... Toch??????
Neen, niks (citaat) te lui en (citaat) ......................Toch???????
Alsjeblieft eerst eens dieper nadenken voor je zoiets roept. Dank je.
Hoeveel weinig IT onderlegde mensen in verhouding tot IT specialisten zijn er, denk je, die gebruik moeten maken van Internetvoorzieningen waar zij niet onderuit komen?... Mensen voor wie termen als man-in-the-middle-attack totale abacadabra is?
Die weinig IT onderlegde mensen zijn bovendien degenen waar jij je boterham mee verdient! En dat wordt weleens vergeten als men weer eens een minachtende opmerking leest over Pietje en Marietje met hun laptop.)
Denk bijvoorbeeld aan UWV uitkeringsgerechtigden die hun maandelijkse sollicitatie-activiteiten moeten melden in hun internetportaal. Die klikken gegarandeerd door als zij geconfronteerd worden hiermee. Gewoon uit angst dat zij gekort worden op hun uitkering als zij hun gegevens niet kunnen bijwerken.
Is het dan teveel moeite om naar de website van app X te gaan, en daar te kijken of je via de officiële weg de boel update?
Of is iedereen te lui tegenwoordig? Na alle campagnes zou iedereen toch beter moeten weten...................... Toch??????
Wat wel relevant is:
exe is ondertekend door Chengdu Nuoxin Times Technology Co., Ltd, dus of dat bedrijf een front voor het regime aldaar of keys zijn ontvreemd, kan ook buiten China gebeuren maar in een dergelijke extreme dictatuur is de eerste optie wel een stuk waarschijnlijke dan in landen die in meer of mindere mate een democratie en rechtstaat zijn.
Is het dan teveel moeite om naar de website van app X te gaan, en daar te kijken of je via de officiële weg de boel update?
Of is iedereen te lui tegenwoordig? Na alle campagnes zou iedereen toch beter moeten weten...................... Toch??????
Neen, niks (citaat) te lui en (citaat) ......................Toch???????
Alsjeblieft eerst eens dieper nadenken voor je zoiets roept. Dank je.
Hoeveel weinig IT onderlegde mensen in verhouding tot IT specialisten zijn er, denk je, die gebruik moeten maken van Internetvoorzieningen waar zij niet onderuit komen?... Mensen voor wie termen als man-in-the-middle-attack totale abacadabra is?
Die weinig IT onderlegde mensen zijn bovendien degenen waar jij je boterham mee verdient! En dat wordt weleens vergeten als men weer eens een minachtende opmerking leest over Pietje en Marietje met hun laptop.)
Denk bijvoorbeeld aan UWV uitkeringsgerechtigden die hun maandelijkse sollicitatie-activiteiten moeten melden in hun internetportaal. Die klikken gegarandeerd door als zij geconfronteerd worden hiermee. Gewoon uit angst dat zij gekort worden op hun uitkering als zij hun gegevens niet kunnen bijwerken.
Het gaat niet over IT onderlegd zijn of niet, toch? Er wordt gesproken over één directive: update beschikbaar? Doe dit via de officiele site. Dit geeft je bank bijvoorbeeld ook aan. Heel veel meer kennis is er in principe niet nodig.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Subsidie
Veel IT-dienstverleners wijzen hun mkb-klanten nu op deze cybersubsidie:
Mijn Cyberweerbare Zaak
Ontdek waarom
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?