FossHub serveerde enkele downloads met malware na hack

Fosshub, een site waar foss-software te verkrijgen is, is enige tijd gehackt geweest. Als gevolg daarvan werden enkele Windows-installatiebestanden van populaire applicaties vervangen door kwaadaardige software die de master boot record overschrijft. FossHub is op dit moment offline.

Classic Shell mbr hackFossHub heeft nog geen verklaring gegeven, maar op dit moment is de website offline en kunnen er geen bestanden meer gedownload worden. Verschillende programma's, waaronder in ieder geval Classic Shell en audiobewerkingsprogramma Audacity, werden voor het offline gaan van de website aangeboden met kwaadaardige inhoud. De payload zorgde ervoor dat de mbr van de harde schijf overschreven werd. Het lijkt er niet op dat de malware iets anders doet dan het overschrijven van de mbr. Dat is vervelend, maar oplosbaar.

De eerste melding van vreemd gedrag stond op het Classic Shell-forum. Tijdens de installatie kreeg de betreffende forumgebruiker te zien dat het bestand uit niet-vertrouwde bron kwam. De gebruiker installeerde Classic Shell toch en na een herstart kwam hij direct in de bios terecht. Niet veel later kwamen op Reddit ook meldingen binnen over Audacity en mogelijk andere applicaties.

Na het overschrijven van de mbr, is het niet meer mogelijk normaal op te starten. Hoe de hackers zich precies toegang konden verschaffen tot FossHub, is niet helemaal duidelijk. Wel zegt hackersgroep Cult of Peggle in een tweet dat ze tijdelijk FossHub volledig in handen hadden en dat ze ook toegang hadden tot de e-mail van de admin.

Veel opensourceprojecten serveren downloads van hun applicaties niet via hun eigen servers. Deze projecten verwijzen vaak naar sites die bestanden hosten, zoals SourceForge of FossHub. Audacity linkt vanaf zijn downloadpagina bijvoorbeeld rechtstreeks naar de bestanden op FossHub.

VirusTotal scanresultaat ClassicShellBron: Ghacks.net

Door Krijn Soeteman

Freelanceredacteur

Feedback • 03-08-2016 11:03
31 • submitter: NotHere

03-08-2016 • 11:03

31

Submitter: NotHere

Lees meer

Oprichters Ultimate Guitar nemen audiosoftware Audacity over
Oprichters Ultimate Guitar nemen audiosoftware Audacity over Nieuws van 3 mei 2021
Hacker kreeg toegang tot Reddit-database uit 2007 en recente mails met usernames
Hacker kreeg toegang tot Reddit-database uit 2007 en recente mails met usernames Nieuws van 1 augustus 2018
Interpol arresteert Nigeriaanse topman van internationaal onlinefraudenetwerk
Interpol arresteert Nigeriaanse topman van internationaal onlinefraudenetwerk Nieuws van 1 augustus 2016
Rechter legt straffen tot 36 maanden op aan criminelen achter TorRAT-malware
Rechter legt straffen tot 36 maanden op aan criminelen achter TorRAT-malware Nieuws van 28 juli 2016
Europol start samenwerking met politie en beveiligingsbedrijven tegen ransomware
Europol start samenwerking met politie en beveiligingsbedrijven tegen ransomware Nieuws van 25 juli 2016
PowerWare-ransomware doet zich voor als Locky-variant
PowerWare-ransomware doet zich voor als Locky-variant Nieuws van 22 juli 2016
Microsoft patcht kritiek Windows-lek dat aanval via printers mogelijk maakt
Microsoft patcht kritiek Windows-lek dat aanval via printers mogelijk maakt Nieuws van 13 juli 2016
'Veel industriële controlesystemen zijn via internet te benaderen'
'Veel industriële controlesystemen zijn via internet te benaderen' Nieuws van 11 juli 2016
Beveiligingsonderzoekers vinden Pokémon Go-app met backdoor
Beveiligingsonderzoekers vinden Pokémon Go-app met backdoor Nieuws van 10 juli 2016
Meer producten en artikelen
Beveiliging en antivirus Netwerk en systeembeheer

Reacties (31)

-Moderatie-faq
31
30
19
3
1
6
Wijzig sortering
Bor Coördinator Frontpage Admins / FP Powermod
3 augustus 2016 11:33
Is er met zekerheid te zeggen dat de malware niet meer heeft gedaan dan de mbr overschrijven? Dat is nogal een raar doel op zich en iets wat direct opvalt. Dit kan natuurlijk een coverup zijn voor meer of andere achtergelaten malware zodat mensen na het repareren van de mbr het idee hebben dat ze weer veilig zijn of wellicht is het verprusten van de mbr een onbedoeld neveneffect geweest?

De Trojan.Siggen6 malware wordt vaak gebruikt voor het achterlaten van nog veel meer narigheid. Een volledige scan van het systeem wordt aanbevolen, ook na reparatie van de MBR. Bij twijfel is een volledige herinstallatie uit een bron waarvan je zeker bent dat deze schoon is altijd de beste optie.

Overigens is het mbr euvel makkelijk te verhelpen, bijvoorbeeld via onderstaande procedure (use at own risk)

-> boot met install media (dvd)
Kies "Repair computer"
Kies "Troubleshoot"
Kies "Advanced options"
Kies "command prompt"
Geef commando "bootrec /fixmbr"
Geef commando "exit"

Ga terug naar "Troubleshoot"
Kies "Advanced Options"
Kies "Startup Repair".

[Reactie gewijzigd door Bor op 26 juli 2024 12:59]

Auteurletatcest @Bor3 augustus 2016 12:09
Nee, dat is niet met zekerheid te zeggen. Ik heb er nog maar weinig relatief betrouwbare bronnen over gevonden, behalve de reddit-thread:

https://www.reddit.com/r/...lassic_shell_read/d61w40i

vv relatief betrouwbaar he ;) vv

[Reactie gewijzigd door letatcest op 26 juli 2024 12:59]

ManIkWeet @letatcest3 augustus 2016 13:07
De betrouwbaarheid van een Reddit thread is over het algemeen niet goed 8)7
flupke01 @Bor3 augustus 2016 12:47
Heb dit probleem ook, maar zonder de malware melding. fixmbr lijkt te werken, maar krijg na kiezen opstartherstel een foutmelding dat de pc niet kan worden hersteld. Als ik opnieuw instellen kies krijg ik eveneens een foutmelding. Beide zonder verdere uitleg of foutcodes... Systeemherstel meldt dat er geen herstelpunten zouden zijn, ook al zouden die er wel moeten zijn.
Als ik probeer W10 op te starten krijg ik de melding dat de BCD niet aanwezig is of fouten bevat. Dit met errorcode 0x000000f.

Kan iemand me hier mee helpen, alsjeblieft? Ik kom er niet meer uit, en zelfs opnieuw installeren lijkt niet te gaan werken.
Arnaud @flupke013 augustus 2016 14:38
Fixmbr zet de MasterBootRecord terug maar niet de BCD (je bootmenu/bootopties)
wat jou probleem op gaat lossen is "bcdboot c:\windows" (dat voegt de Windows in C:\Windows toe aan je BCD en als je BCD er helemaal niet is fixed hij dat ook voor je)
flupke01 @Arnaud3 augustus 2016 15:45
Helaas, dat helpt niet. Heb ondertussen ontdekt dat ik mijn pc kan opstarten door mijn 3e hd te selecteren bij het opstarten? Snap er niet veel van, boel is flink door elkaar gehusseld blijkbaar. Heb ondertussen al zoveel uitgeprobeerd dat ik door de bomen het bod niet meer zie.
Helaas biedt systeemherstel ook al geen uitweg; hersteldata blijkt verwijderd...
Unimproved @Bor3 augustus 2016 13:43
Het is natuurlijk niet te vertrouwen, maar het twitter account zegt dat ze dit enkel gedaan hebben om het lek te laten zien.

https://twitter.com/CultOfRazer/status/760791956679032832
https://twitter.com/CultOfRazer/status/760728122501263361
https://twitter.com/CultOfRazer/status/760723688811560960
MrCrazyID @Bor4 augustus 2016 12:39
https://youtu.be/DD9CvHVU7B4

Hier wordt dit virus losgelaten op een virtuele machine.
Clemens123 3 augustus 2016 11:10
Ik heb blijkbaar nog geluk gehad toen ik een paar dagen geleden Classic Shell geupdate heb...(alhoewel ik heb het via de updater gedaan, en daar was geen gevaar, aangezien het een andere mirror was en de signature automatisch gecontroleerd wordt)

Hier staat trouwens perfect uitgelegd hoe je het euvel kunt repareren:
http://www.classicshell.n...viewtopic.php?f=12&t=6440

[Reactie gewijzigd door Clemens123 op 26 juli 2024 12:59]

Anoniem: 636203 @Clemens1233 augustus 2016 11:23
Ik ben bang dat slachtoffers de volgende keer niet zoveel geluk hebben en dat de malware gewoon de MFT wist. Sites moeten gewoon veel beter beveiligd worden, vooral als je er software kan downloaden.

[Reactie gewijzigd door Anoniem: 636203 op 26 juli 2024 12:59]

supersnathan94 3 augustus 2016 11:43
Dit is echt een groter probleem dan mensen denken.

Het overschrijven van de MBR op een bitlocker Drive zorgt ervoor dat de complete schijf wordt "gewist".

De malware is in 1 dag geschreven en is niet echt slim gebouwd dus als voorzorgs maatregel kan je er voor zorgen dat je op Drive 0 geen bitlocker activated drive hebt zitten. Hij overschrijft namelijk de eerste drive die hij tegenkomt.
Bor Coördinator Frontpage Admins / FP Powermod
@supersnathan943 augustus 2016 11:48
Het overschrijven van de MBR op een bitlocker Drive zorgt ervoor dat de complete schijf wordt "gewist".
Klopt dat wel? Zonder mbr maar met recovery keys zou je de drive alsnog moeten kunnen mounten en unlocken via manage-bde.exe.
Parameter List:
-status Provides information about BitLocker-capable volumes.
-on Encrypts the volume and turns BitLocker protection on.
-off Decrypts the volume and turns BitLocker protection off.
-pause Pauses encryption or decryption.
-resume Resumes encryption or decryption.
-lock Prevents access to BitLocker-encrypted data.
-unlock Allows access to BitLocker-encrypted data.
-autounlock Manages automatic unlocking of data volumes.
-protectors Manages protection methods for the encryption key.
-tpm Configures the computer's Trusted Platform Module (TPM).
-ForceRecovery or -fr
Forces a BitLocker-protected OS to recover on restarts.
-ComputerName or -cn
Runs on another computer. Examples: "ComputerX", "127.0.0.1"
-? or /? Displays brief help. Example: "-ParameterSet -?"
-Help or -h Displays complete help. Example: "-ParameterSet -h"

Examples:
manage-bde -status
manage-bde -on C: -RecoveryPassword -RecoveryKey F:\
manage-bde -unlock E: -RecoveryKey F:\84E151C1...7A62067A512.bek
supersnathan94 @Bor3 augustus 2016 12:04
Dat zou misschien kunnen, maar in schijfbeheer is de ruimte alleen zichtbaar als 1 partitie unallocated space. De data staat er nog wel op uiteraard, maar dit is niet zomaar even terug te halen zoals normaal wel kan.
The Zep Man
@supersnathan943 augustus 2016 12:24
Dat zou misschien kunnen, maar in schijfbeheer is de ruimte alleen zichtbaar als 1 partitie unallocated space.
Dus niet alleen de MBR code, maar ook de (MBR/GPT?) partitie-indeling wordt mogelijk verwijderd. Dat is niet echt goed voor de verspreiding van de infectie, want na een keer falen met booten volgt doorgaans een herinstallatie, waarbij (volgens mij) de betreffende code wordt overschreven door de installer.

Zelf ben ik altijd een fan van even een disk te cleanen voordat ik met een schone Windows installatie begin. Na het opstarten van de installatie gebruik je shift + F10 om een Command Prompt te openen. Gebruik vervolgens 'diskpart', 'list disk', select disk X' en 'clean' om de partitie-indeling van de installatieschijf schoon te vegen, waarbij X het nummer is van de betreffende disk. Dit lost soms ook problemen op wanneer de 'slimme' installer besluit dat Windows niet te installeren is op de disk die je wilt. ;)

[Reactie gewijzigd door The Zep Man op 26 juli 2024 12:59]

Bor Coördinator Frontpage Admins / FP Powermod
@The Zep Man3 augustus 2016 13:00
Hij doelt op een bitlocker encrypted schijf en niet noodzakelijk op de malware die hier besproken wordt. In dat laatste geval lijkt een mbr restore of repair voldoende te zijn om het systeem weer bootable te maken. Wel goed op malware scannen daarna!
himlims_ 3 augustus 2016 11:33
nofi; maar waarom zou je software downloaden via 3th party site en niet via de pagina bij ontwikkelaar zelf? begrijp dat sommige sotware 'exclusief' via fosshub gaat
Ultrapc @himlims_3 augustus 2016 11:39
Het zijn officiële mirrors, dus je kan net zo goed vanaf de officiele downloadpagina terecht gekomen zijn bij FossHub.
xxxneoxxx @himlims_3 augustus 2016 21:42
Ik zou idd een 3rd party site gebruiken en zeker geen 3th party site.
MediQ 3 augustus 2016 11:09
Het plaatje naast het artikel toont een melding van de hackers/grapjassen... Op het forum van Classic Shell en op Reddit meldden gebruikers dat ze deze melding kregen van de hackers na het installeren van de geïnfecteerde installer van FossHub. Overigens was de Class Shell installer op de MediaFire-mirror niet geïnfecteerd.

Edit: Plaatje naast artikel is inmiddels aanklikbaar. Reactie aangepast.

[Reactie gewijzigd door MediQ op 26 juli 2024 12:59]

BeArt 3 augustus 2016 11:44
Verdorie, ik denk dat ik daar dan slachtoffer van ben ...
Gisteren melding gekregen van OneDrive dat limiet bereikt was, dus dacht ik even met WinDirStat na te kijken welke map het grootst was.

een van de aangeboden mirrors was Fosshub, en dat klonk me toch enigzins betrouwbaar in de oren.

Later pc willen herstarten ... de vermeldde foutmelding ...
Ik dacht eerst dat het aan ESET lag, tijdens dezelfde sessie was ik van Avira naar Eset overgeschakeld.

Heb het voorlopig nog niet kunnen oplossen, ben een bootdvd aan het maken.

//edit Ondertussen gefixt met de gekende combinatie bootdvd + bootrec /fixmbr + opstartherstel.

Nu een grondige scan en wachtwoorden wijzigen, en hopelijk blijft het dan voorlopig daarbij. Binnenkort het systeem toch maar eens formatteren voor de zekerheid.

//edit2 net de dader nog eens bekeken, het bestand was maar 35kb groot ... Dat ik daar ingetrapt ben ... Ook staat bij de omschrijving info over ClassicShell, terwijl de bestandsnaam wel naar WinStat verwijst ...

Best een tijdje opletten met Fosshub lijkt me.

[Reactie gewijzigd door BeArt op 26 juli 2024 12:59]

GravityDX 3 augustus 2016 11:44
Danooct1 heeft een video gemaakt van deze payload. Hierbij wordt ook uitgelegd hoe dit te fixen is.
njitter 3 augustus 2016 12:55
Slim om hier Classic Shell voor te misbruiken. Veel mensen zullen na het installeren van de Windows 10 Anniversary Update de melding gekregen hebben dat de versie die ze in gebruik hebben niet compatibel is. Ik heb hem zelf gisteravond ook geupdate.

Heb toen gelukkig wel de juiste file gekregen:

How do I know I have downloaded the correct file?
There are few things to watch for:
  • Check the file properties in Explorer – right-click -> Properties. Look for a tab named “Digital Signatures”. It should list “Ivaylo Beltchev” as the signer. The hacked file doesn’t even display the “Digital Signatures” tab./li]
  • When you run the real installer it will not immediately ask you for admin permissions. Only after you finish selecting your settings you will be asked. The hacked file asks right away.
  • The prompt for permissions will be blue for the real file and say "Verified publisher: Ivaylo Beltchev". The fake file will show a yellow prompt and say "Publisher: Unknown".
  • The fake file will of course not install Classic Shell. It will just flicker once and exit. So if you managed to install Classic Shell 4.3.0, then you had the right file and you are safe

[Reactie gewijzigd door njitter op 26 juli 2024 12:59]

Bor Coördinator Frontpage Admins / FP Powermod
3 augustus 2016 13:48
Men had ook een EFI payload maar die kregen ze niet werkend zo te lezen;

https://twitter.com/CultOfRazer/status/760752941066313728
Anoniem: 280967 3 augustus 2016 21:01
Lees nu dit. Zo juist classic shell gedownload. Hopelijk geen problemen. Moest hem weer downloaden naar de nieuwe verjaardagsupdate van Windows.
Hopelijk toch geen problemen. Panda en Hitman Pro melden niets tenminste

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq