Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 74 reacties
Submitter: himlims_

Onderzoekers hebben een mutatie ontdekt van de Ramnit-worm die het gemunt heeft op Facebook-gebruikers. De malware heeft inmiddels de accountgegevens van 45.000 gebruikers van de sociale-netwerksite onderschept.

De Ramnit-worm bestaat al sinds april 2010 en heeft inmiddels diverse doelwitten gehad. Nadat de worm het aanvankelijk had voorzien op ftp-inloggegevens, gooide de malware het in augustus vorig jaar over een andere boeg door actief financiële inloggegevens proberen te onderscheppen.

Seculert heeft nu een nieuwe variant van Ramnit ontdekt die het op Facebook-gebruikers heeft gemunt. Volgens de onderzoekers is de malware, genaamd Ramnit.C, hierin redelijk succesvol: inmiddels zou de worm er in zijn geslaagd de gegevens van 45.000 Facebook-gebruikers te stelen. Hoewel de malware over de hele wereld toeslaat, lijken er vooral veel meldingen uit Groot-Brittannië en Frankrijk te komen.

Seculert vermoedt dat de aanvallers de 'gekaapte' Facebook-accounts gebruiken om kwaadaardige links naar de contacten van getroffen gebruikers te sturen in een poging de malware zo verder te verspreiden. De beveiligingsonderzoekers hebben Facebook eerder al van hun ontdekking op de hoogte gesteld en een lijst overhandigd van de gecompromitteerde accounts. Het is niet bekend of Facebook actie heeft ondernomen.

Reacties (74)

Reactiefilter:-174072+153+22+30
Moderatie-faq Wijzig weergave
Ik snap niet dat jullie die er last van hebben allemaal niet jullie security settings hoger hebben gezet. Wanneer ik inlog vanaf een vreemde locatie moet ik mijn computernaam intypen, vervolgens krijg ik een e-mail met de informatie dat er iemand is ingelogd van "ingetypte locatie", wanneer het niet juist is klik hier om de sessie te beeindigen.

Kijk er eens na zou ik zeggen en doe er je voordeel mee. (Zet dan ook gelijk even HTTPS aan)

Dat kan overigens hier: https://www.facebook.com/...ction=notifications&t

[Reactie gewijzigd door Kecin op 6 januari 2012 00:24]

Redelijk succesvol ? 45.000 van de 800 miljoen is toch maar een heel klein percentage
Inderdaad, 45.000 lijkt een hoop, maar relatief gezien valt de schade dan nog erg mee. Overigens wel vreemd dat het vooral in bepaalde landen voorkomt, wat zou daar de reden van zijn?
Hoewel de malware over de hele wereld toeslaat, lijken er vooral veel meldingen uit Groot-BrittanniŽ en Frankrijk te komen.
Dat lijkt me vrij eenvoudig. Als een kennis van mij in het Engels zegt dat dit een te gekke link is dan weet ik dat er iets mis is. De kans dat je zo een boodschap in (correct) Nederlands krijgt is gewoon veel kleiner.
Nou, veel mensen hebben internationale vrienden op Facebook. Ik neem dus aan dat dat virus toch ook wel een Nederlandse weg heeft gevonden.
En hoe zit het dan met Frankrijk?
Al is het niet in het correct Nederlands, dan zijn er toch nog van die sufkoppen die op zoiets klikken. Net als je de bekende next-next klikkers hebt. Lezen ho maar.
Trouwens, je kunt ook Engels sprekende kennissen hebben en dan gaat dat regeltje van je niet meer op. Maar het is gewoon in het algemeen uitkijken wat je doet en vooral je ogen en hersenen goed gebruiken.
Het is een facebook account per 10 seconden. ;)
Simpele manier om dit tegen te gaan - DELETE

Hup weg Facebook en hup weg het grootste datalek in je leven.
Er zit geen delete functie op Facebook, want je account weggooien wist natuurlijk niets. Alleen krijg je de indruk dat je account gewist is.
In feite wordt je in een database geflagged als "deleted" en staan al je gegevens nog vrolijk opgeslagen.
Ik had laatst een zooitje foto's weggegooid, en na een week kwamen ze allemaal weer tevoorschijn, lekker vaag dus...
De precieze datalek zit nog altijd tussen je bureaustoel en je computer, jijzelf.
inderdaad, en dan ook meteen je internetbankieren of nee je hele internet er uit gooien. geen risico meer!
In zon geval is het ook een feit dat de gebruiker hierop kan reageren en zijn paswoord alvast wijzigen.
Trouwens wat een grappig plaatje bij zon serieus onderwerp.....
Dat zou je kunnen doen, maar je weet niet of de worm al gestopt is, dat is nergens te vinden in dit bericht!

[worm]"hepp ik dat weer"[/worm]

[Reactie gewijzigd door Silasje op 5 januari 2012 19:57]

Het plaatje is een worm uit het spelletje Worms. Ik gok dat aan het plaatje een of ander script zit gekoppeld dat besloten heeft dat dit artikel over Worms ging, of dat de poster een goede dag had :)

Verder neem ik aan dat Facebook opzich wel berichten zou kunnen filteren, en een waarschuwing weergeven onder berichten waarvan vermoed wordt dat ze deze worm bevatten? Dit bestrijd alleen verspreiding natuurlijk.

Als je de worm al in je systeem hebt, zul je niet veel kunnen doen behalve wachten tot je antivirus software de worm heeft opgenomen in de database en wordt herkent op je PC, of radicaal de zooi herinstalleren. Als je je wachtwoord veranderd zal het niet lang duren voordat de worm je nieuwe wachtwoord te pakken heeft.

[Reactie gewijzigd door ThePendulum op 6 januari 2012 00:48]

Haha, inderdaad een grappig plaatje. Wiens is een geweldig spel.
Als ik kijk naar mijn vrienden op facebook. Zie ik vaak apps langs komer die er erg fishy uit zien. Van die onnozele apps waar ze voorspellen waarneer je dood gaat en hoe. Of wie jou profiel het meest bekijkt. Tussen al deze (goedaardige) apps kan er toch wel eens een keer een geÔnfecteerde/ phising app tussen zitten?

Had tijd geleden ook iets van een link gezien naar een neppe youtube site. Dat je met een captcha iets moest verifiŽren.

De meeste personen die deze apps draaien zitten zelf op een webmaster opleiding, en dan zou je toch ook denken dat zij ook wel een beetje weten om veilig te surfen?

Of vind(en) jij/jullie dat die apps geen kwaad kunnen?
Die apps zijn volgens mij vooral uit op je persoonlijke informatie en die van je vrienden. De domste was mijn inziens nog die verjaardagskalender, gewoon op "evenmenten -> verjaardagen" klikken en je ziet het zonder vervelende apps...
Die captcha klinkt meer als de oplossing van spammers naast een soort van callcenter; andermans captcha serveren aan mensen die dat niet weten. Gebruikten ze geloof ik ook pr0nsites voor.
Ik had laatst een of andere rare coupon van starbucks. Dit was via mijn telefoon op facebook gekomen, en niet door mezelf (of iemand anders op me telefoon). Het was dus overduidelijk een virus/spyware. Heb de telefoon opnieuw geÔnstalleerd, wachtwoord van facebook meerdere malen op verschillende locaties veranderd en nu nergens meer last van. Iemand die dit herkend? Lijkt hierop moet ik zeggen, ook al is dit waarschijnlijk een andere (kwaadaardigere) vorm.
Als ik het goed begrijp stond coupon zomaar op jou Facebook op jou account? Dan moet er dus al ingebroken zijn. werd er ook niet allemaal spam of zo verstuurd via jou account?
dit is zeer herkenbaar! had exact het zelfde 2 weken voor kerst ofzo... dit was een android telefoon met F secure als 'antivirus' ik weer niet waarom dit gebeurde.

Nog een kleine aanvulling;

die coupon die er op kwam te staan LIJKT er zelf op gezet te zijn. zoals je bij andere websites soms de knop " share" hebt staan om iets op je facebook te zetten, alleen kreeg ik niet de vraag of ik m er op wou zetten. (ik ben me niet eens bewust van de website waar het gebeurd is)

[Reactie gewijzigd door makkie88 op 6 januari 2012 08:03]

Zeer vervelend voor de gedupeerde... Ik kies zelf nog steeds voor een zeer gelimiteerd online sociaal leven... Facebook is voor mij niet nodig..

Ik vraag me wel meteen af hoeveel wormen er nog niet ontdekt zijn..
vriend van me kwam vandaag met zijn windows laptop langs; had problemen volgens hem kwamen deze via facebook. Mijn windows kennis houdt beetje na xp. Ben d'r 2u mee bezig geweest maar 'opgelost'. Die krengen zijn heden dag nog best lastig;
- via facebook op linkje geklikt; dat installeerde 'applicatie' op profiel zo bleek
- die app (of de gebruiker :X) had weer een uitbreiding in zijn chrome browser geinstalleerd
- ingenesteld onder windows software en draaide als service

goed was niet die ramnit, maar geef maar weer eens aan hoe onkunde van gebruiker en misbruik middels socialmedia een systeem onbruikbaar kan maken :F
Onlangs richtte ook een variant van de Zeus Trojan zich op Facebook inloggegevens. Volgens Seculert is er dan ook sprake van een trend, waarbij aanvallers nu experimenten om de oude vertrouwde e-mailwormen door sociale netwerkwormen te vervangen. "De virale kracht van sociale netwerken is, als het in de verkeerde handen komt, te manipuleren om behoorlijke schade aan individuen en instellingen aan te richten."

[Reactie gewijzigd door himlims_ op 5 januari 2012 20:28]

goed was niet die ramnit, maar geef maar weer eens aan hoe onkunde van gebruiker en misbruik middels socialmedia een systeem onbruikbaar kan maken :F
...en het gebruiken van een account met beheerdersrechten voor niet-beheerdersdoeleinden, dat is. Dat is ook wel soort van vragen om problemen!
Ja leuk.. had ik net 2 splinter nieuwe computers geinstalleerd.

Mooi zoals jij het hebt gezegd.. eerste keer dat ik aparte users aanmaak voor een w7 systeem, na 1 dag werken stond er echt al een kreng van een virus op.

natuurlijk was ik wel Security Essentials vergeten denk ik.. maar toch.. vond het wel vreemd dat een gebruiker zonder beheerdersrechten na 1 dag al een virus kon oplopen.

Wat moet ik nog extra doen zodat dit zich niet herhaalt in de toekomst?

Thanks :9
Dat kan ook niet, ik vermoed dat die gebruiker gewoon een user was met admin privileges. En dat zeg je eigenlijk zelf al, want na 1 dag heb je pas een andere user aangemaakt, en de eerste user is, logischerwijs, een user met admin privileges.

En "domme" gebruikers klikken overal op "ok", vooral als iets van Facebook oid komt (want ja, dan kan ik [insert smoes] )
Goh.. het is wel degelijk gebeurd op de Gebruikers account en niet op -mijn- admin account.

Je kan wel degelijk programma's installeren zonder Admin rechten.. alleen vindt ik het wel super vreemd dat sommige updates (Flash, java) dan weer niet gaan zonder Admin passwoord.
Hoe precies komt dit op je pc binnen en hoe effectief is de gemiddelde a-v software hiertegen?
Waarschijnlijk kan je AV software dit nog niet detecteren, omdat deze voor Facebook gebouwd is, deze worm zal pas in de virus definities van morgen of verderop in de week zitten
Kan zo'n malware virus ook binnendringen als je alleen via https werkt?

informatie wordt dan toch gecodeerd doorgestuurd?
zoals ik het begrijp hackt het niet in op de verbinding, maar wordt op jou eindpunt geinstalleerd....zelfs al zit je vanaf daar https..dan kan het natuurlijk nog steeds je wachtwoord jatten...
Nou eergister toen ik probeerde in te loggen kreeg ik de melding dat mijn FB account geblokkeerd was. Er was namelijk vanuit een "onbekende locatie" ingelogd.

Een afbeelding gaf aan dat "iemand" vanuit ergens in Taiwan (based on IP) had ingelogd om 3 uur snachts NL tijd. Je kan dan aangeven of jij dat echt was.

Heb via de https mijn wachtwoord veranderd en sindsdien niks meer van gehoord...
Wel heel toevallig gelijktijdig met dit artikel...
Ik had exact hetzelfde, alleen was het niet Taiwan maar ergens in Rusland.
Exact hetzelfde gehad 3 dagen terug. Ook vanuit Taiwan.
Dat dacht ik dus ook! Heb precies hetzelfde gehad 3 dagen terug.

Op dit item kan niet meer gereageerd worden.



Microsoft Windows 10 Home NL Apple iPhone 6s Star Wars: Battlefront (2015) Samsung Galaxy S6 edge Apple Watch Project CARS Nest Learning Thermostat Economie en maatschappij

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True