Fake captcha gebruikt Finger-protocol voor installatie van malware
Onderzoekers hebben fake captcha's ontdekt die het decennia oude Finger-protocol gebruiken om slachtoffers met malware te infecteren. Via het Finger-protocol kan er informatie over gebruikers van een systeem worden opgevraagd. Onlangs meldde een gebruiker van Reddit dat hij op een pagina een pop-up te zien kreeg waarin werd gesteld dat hij een captcha moest oplossen.
Het oplossen van de captcha bestond uit het uitvoeren van een commando in de command prompt van het systeem. Het commando gebruikte het Finger-protocol om informatie van een remote host op te halen en vervolgens op het systeem van het slachtoffer uit te voeren. De opgehaalde informatie bestond uit een commando dat curl aanroept voor het downloaden en uitvoeren van malware.
Volgens Bleeping Computer gaat het vermoedelijk om infostealer-malware, die allerlei wachtwoorden en andere inloggegevens van systemen steelt. Ook onderzoekers van MalwareHunterTeam maken melding van het gebruik van het Finger-protocol bij aanvallen. Criminelen maken al enige tijd gebruik van fake captcha's waarbij internetgebruikers worden verleid om malafide commando's op hun systeem uit te voeren. Een tactiek die de naam ClickFix heeft gekregen.
Ze kunnen bij besturingssystemen zoveel programma's en/of protocollen eruit slopen of limiteren, maar dat gaat niet helpen.
Ik denk zelfs dat het dan averechts gaat werken. Omdat er dan weer 3rd party software nodig is dat weer los geüpdatet moet worden. In plaats van nu een tooltje dat met de systeem updates mee geüpdatet wordt.
Er zal vast een tijd komen dat slachtoffers de instructie krijgen om programmaatje xyz te downloaden en uit te voeren om de captcha op te lossen. Of slachtoffers worden geïnstrueerd om een htmlletje met javascript dat zero-day exploits uitbuit downloaden en uitvoeren in de browser.
Het probleem is niet het protocol wat misbruikt wordt. Het probleem is de (onwetende) gebruiker die niet nadenkt.
Van de wikipedia pagina -niet iedereen leest de linkjes:
Finger information has been used by hackers as a way to initiate a social engineering attack on a company's computer security system. By using a finger client to get a list of a company's employee names, email addresses, phone numbers, and so on, a hacker can call or email someone at a company requesting information while posing as another employee.
The finger daemon has also had several[citation needed] exploitable security holes crackers have used to break into systems. For example, in 1988 the Morris worm exploited an overflow vulnerability in fingerd (among others) to spread.[2]
For these reasons, by the late 1990s the vast majority of sites on the Internet no longer offered the service.
Pure kwaadaardigheid, geen kruit is er tegen gewassen. Wel opvallend, dat het vooral dit jaar weer opduikt als modisch middeltje.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?