Oude Dimnie-trojan richt zich op GitHub-ontwikkelaars

Beveiligingsbedrijf Palo Alto Networks heeft een analyse gepubliceerd van de zogenaamde Dimnie-trojan, die wordt gebruikt in een campagne die op GitHub-ontwikkelaars is gericht. De trojan bestaat al drie jaar, maar richt zich pas sinds kort op ontwikkelaars.

Volgens het bedrijf wordt Dimnie verspreid door middel van phishing-e-mails die een aanbod voor een baan lijken te bevatten. In de tekst wordt gerefereerd aan een 'indrukwekkende GitHub-repository' van de ontvanger, die aanleiding voor het aanbod zou zijn. In de bijlage van de e-mail bevindt zich een kwaadaardig doc-bestand, dat een macro bevat om een Powershell-opdracht uit te voeren waarmee een payload binnen wordt gehaald.

Bij de analyse van de trojan komt naar voren dat deze een niet langer gebruikt Google-domein gebruikt om ogenschijnlijk een http-proxyverzoek uit te sturen. In werkelijkheid wordt er verbinding gemaakt met een ander ip-adres door middel van een dns-verzoek. Hoewel dit volgens de onderzoekers niet moeilijk voor elkaar te krijgen is, bemoeilijkt het de detectie van het verkeer. Op die manier kan de met aes versleutelde payload worden binnengehaald.

Deze kan voorzien worden van modules voor uiteenlopende taken, zoals het maken van schermafbeeldingen, keylogging en communicatie met smartcards. Daarnaast is er een module die alle gegevens op de c-schijf vernietigt. Buitgemaakte gegevens worden opnieuw versleuteld teruggestuurd naar de personen achter de campagne, ditmaal via een POST-verzoek dat naar het gmail-domein verstuurd lijkt te worden. Ook deze maatregel dient om detectie te voorkomen, aldus de onderzoekers.

Ze schrijven dat Dimnie zich in eerste instantie richtte op Russisch sprekende doelwitten en dat de trojan daarom gedurende drie jaar vrijwel niet is opgevallen. Doordat hij zich nu op GitHub-ontwikkelaars richt, valt hij meer op.

dimnie tekst Tekst uit de e-mail

IT-banen

Reacties (41)

Boy 30 maart 2017 10:29

Ik heb geen ervaring met die macro's in doc bestanden, maar die zullen toch eerst om toestemming vragen voordat ze iets gaan uitvoeren op de Powershell?

Devion @Boy • 30 maart 2017 11:03

Soms, maar er zijn wat uitzonderingssituaties.. oa. UAC uitzetten = instant process elevation, dus word/excel/etc hoeft 't niet te vragen om iets uit te voeren want 't mag dan gewoon, daarnaast heb je nog de complexere exploits die zelf het process elevaten om de vraag te omzeilen.

anargeek @Devion • 30 maart 2017 11:28

Precies. En een belangrijk verschil: er wordt geen toestemming gevraagd om Powershell (of eigenlijk VBscript/J-script die vervolgens PS aanroept) uit te voeren, maar er wordt gevraagd om de macros uit te voeren. Als je instellingen macros toestaan, of je geeft incidenteel toestemming, dan worden de scripts uitgevoerd met dezelfde rechten als waarmee je Office hebt opgestart

Daarom: nooit macros uitvoeren van bestanden die je niet 100% vertrouwd, en het liefst .doc(x)/.xls(x) documenten altijd openen met Google Drive/OpenOffice/LibreOffice etc.

Tweekzor @Devion • 30 maart 2017 11:49

Of je werkt gewoon onder een non-privileged account met een los admin account zoals zou moeten in een veilige omgeving. Dan blijven alleen nog de 0-day privilege escalation exploits over, maar goed je kan Office inderdaad instellen dat macro's click-to-run zijn. Volgens mij zijn daar nog weinig tot geen exploits voor geweest om click-to-run functies te omzeilen.

EDIT: Als laatste natuurlijk nog de optie om macro's in zij geheel uit te schakelen als je toch van jezelf weet dat je er geen gebruik van maakt (lastiger in een bedrijfssituatie).

[Reactie gewijzigd door Tweekzor op 2 augustus 2024 16:56]

Brahiewahiewa @Tweekzor • 30 maart 2017 16:22

Of je werkt gewoon onder een non-privileged account met een los admin account zoals zou moeten in een veilige omgeving

Het gaat hier om developers en daar is nog steeds een groot aantal van dat wegens luiheid of zelfingenomenheid meent dat een non-privileged account niet nodig is

Rinzwind @Devion • 30 maart 2017 11:51

De standaard instelling staat strak en je hebt geen powershell nodig om via vba exact hetzelfde te doen. Dit heeft ook niets van doen met uac. Staat er los van.

Trouwens de inhoud van de mail is ZO standaard. Geen details, 100% algemeen en onpersoonlijk.

ArchitectOfDoom @Rinzwind • 30 maart 2017 15:14

Kortom; net een echte mail van een recruiter

Get!em @MadEgg • 30 maart 2017 10:43

Je noemt vooral de redenen waarom je het niet zou doen. De redenen waarom je het wel zou doen:
- ontwikkelaars, indien al op windows, hebben vaak wat meer rechten op hun lokale machine
- wannabe's die eindelijk erkenning vinden in hun werk kunnen ineens blind zijn bij een dergelijk aanbod
- ontwikkelaars met github hebben al de nodige libraries om via de makkelijke weg code uit git op te halen middels korte commands die niet perse verdacht zijn voor een virusscanner.
- virusscan staat bij ontwikkelaars vaak anders ingesteld dan bij de rest van kantoor personeel
- zeldzame cases dat je ontwikkelaars treft van macro's: die zullen mogelijk enkele extra waarschuwingen uitgezet hebben om snel te kunnen ontwikkelen en daardoor draait de geleverde macro automatisch.

Al met al een kwestie van kleine doelgroep, maar hoge winst indien het wel lukt.

[Reactie gewijzigd door Get!em op 2 augustus 2024 16:56]

Lapa @Get!em • 30 maart 2017 11:08

Bovendien maakt juist het feit dat mensen niet verwachten dan een malware campagne expliciet op ontwikkelaars gericht is (zoals de reacties hier al aantonen) al dat mensen zo'n bericht onbewust minder verdacht vinden dan een algemenere bericht over een factuur of zo.

rvt1 @MadEgg • 30 maart 2017 10:43

Er zijn heel veel ontwikkelaars uit landen die wat minder bedeelt zijn en die maar al te graag een (bij) baantje zoeken. Als je dus wordt benaderd als beginnende programmeur voor een job, dan kun je daar natuurlijk al gauw intrappen.

Ik snap het wel,
hierboven (beneden??) doet iedereen wel of het allemaal zo logisch is, maar dat is het natuurlijk niet. We worden allemaal gemakkelijk bedonderd, is het niet een spam/scam dan is het wel een bank of verzekering die we wellicht niet nodig hebben.

Dat bagatelliseren hierzo dat mensen 'dom' zijn als ze er intrappen hebben volgens mij zeer weinig levens ervaring...

MadEgg @rvt1 • 30 maart 2017 10:50

Nouja, dom... op zijn minst naïef.

Vuistregels:
* If it sounds to good to be true, it probably is.
* Als iemand je benadert met een aanbod is dat voornamelijk in diens eigen belang

Als je dat altijd als uitgangspunt neemt is het lastig om je ergens in te laten trappen. Natuurlijk zijn er op beide vuistregels uitzonderingen, daarom zij het vuistregels, maar zolang je je daar bewust van bent en jezelf er van overtuigd dat dit daadwerkelijk een uitzondering is en waarom dat in deze situatie gerechtvaardigd is, kom je een heel eind.

sanderv @MadEgg • 30 maart 2017 11:02

Ik skim meestal recruitment e-mails toch wel even, het kan zomaar ineens in mijn belang wezen, en er zit nu eenmaal af en toe een job description bij, waar ik best wel eens nieuwsgierig naar ben (meestal omdat we zelf ook werven, om een beetje te vergelijken). Ik zou geen job.doc.exe openen, maar een job.pdf en job.doc zou ik niet zo erg vinden; mijn Word is up-to-date, en ik weet dat ik geen bijzondere macro-instellingen heb, dus ik vertrouw erop dat Microsoft me waarschuwt voordat ik in de problemen raak.

* If it sounds to good to be true, it probably is.

Het is recruitment, zo gaat dat nou eenmaal.

Wat mij meer in het oog zou springen is dat ik nu eenmaal niet zo heel veel interessante, publieke GitHub-repositories heb, dus ik zou de recruiter in kwestie alweer gauw verdenken van bras- en haastwerk. ("After reviewing your LinkedIN profile, I believe this C# job is a great fit" -- ik ben een Java-ontwikkelaar, fl* op!)

sanderv @MadEgg • 30 maart 2017 10:38

De organisatie met de meeste "open source contributors" is Microsoft, misschien zitten daar wel een paar Windowsgebruikers tussen

DdeM @MadEgg • 30 maart 2017 11:03

Ehm...... https://github.com/PowerShell/PowerShell (is ook op Linux, just saying)

Daarnaast, wat een vreemde aanname dat mensen die een repo hebben op GitHub wel geen Windows zullen gebruiken maar overwegend Linux.... Of begreep je het artikel niet helemaal? Gaat om ontwikkelaars die actief zijn op Github, niet ontwikkelaars die ontwikkelen voor/aan GitHub. Uit artikel: "In de tekst wordt gerefereerd aan een 'indrukwekkende GitHub-repository' van de ontvanger, die aanleiding voor het aanbod zou zijn."

Verwijderd @MadEgg • 30 maart 2017 11:10

Meer dan gemiddeld, vast wel. Maar dit soort aanvallen richt zich ook niet op "iedereen", als de meeste slachtoffers mogelijk kwetsbare software draaien is het goed genoeg. Je vangt toch nooit iedereen.

laserfreak 30 maart 2017 10:50

Dan toch ook weer de uiteindelijke vraag, waarom moet een .doc of .docx bestand de functionaliteit bevatten om code uit te voeren. Het gaat uiteindelijk over tekst met opmaak.

Nimja @laserfreak • 30 maart 2017 11:14

Forms en andere onzin.

Gelukkig werken deze allemaal op Google Drive (en andere online alternatieven), maar heb je daar de virussen niet.

Verwijderd @Nimja • 30 maart 2017 11:47

Hoezo onzin? Het bestaat al heel lang en wordt veel gebruikt in kantoor omgevingen omdat je dan juist programmatisch data kunt verkrijgen en bewerken.
Daar vallen ook de meeste slachtoffers.

Yep, het laat te wensen over nu veel hackers er de hobby en werk van hebben gemaakt om elk veelgebruikt stuk software op onzinnige manieren te misbruiken voor eigen doelen en ten kosten van anderen.

Dát is de echte onzin.

^{Filosofisch vraagstuk voor de liefhebbers zelf:

Er zijn veel mensen die denken dat 'het slechte' nodig is om 'het goede beter te maken' maar is dat wel echt zo? Of is het/dat gewoon niet het goede? Velen denken en leven er naar dat gezondheid exclusief in de toekomst ligt maar was er misschien heel en gezond voor wangedrag? Ten opzichte van gedrag?

En is dat alleen nu als een lichaam dat een ziekte uitziekt misschien? Maar nodig? De oplossing is toch simpel bij het verstand?}

[Reactie gewijzigd door Verwijderd op 2 augustus 2024 16:56]

Verwijderd @laserfreak • 30 maart 2017 11:32

Omdat het 'handig' is! Je kan dan allerlei virussen en zo downloaden en dat maakt het werk van malware ontwikkelaars een stuk eenvoudiger.

Ook in PDF's zit de mogelijkheid om Javascript uit te voeren. Iemand heeft weer bedacht dat dit ook wel 'handig' is om een document op te vrolijken, zonder naar de beveiligings-gevolgen te kijken.

MadMarky 30 maart 2017 10:23

Als je notabene als developer voor dit soort vage scams valt lijk je me nou niet de meest capabele persoon, om het zo maar eens uit te drukken.

kramer65 @MadMarky • 30 maart 2017 10:41

Hoezo vage scam? Als develop krijg je wel vaker van dit soort berichten, niks ongewoons aan. Developers zijn ook gewoon mensen, en het is niet dat me een miljoen Euro's van een vergeten Nigeriaanse oom wordt aangeboden. Dat gezegd hebbende ben ik ook wel voorzichtig met bestanden openen, maar een tekstbestandje van een recruiter zou ik in een onbewaakt moment ook nog wel openen.

Verwijderd @kramer65 • 30 maart 2017 11:08

De andere kant op worden recruiters vaak ook aangevallen met besmette CV's. Ik open docs van onbekenden altijd met LibreOffice, dan werken kwaadaardige macro's die zich natuurlijk altijd op de MS variant richten niet.

Werelds

@kramer65 • 30 maart 2017 11:13

Ik heb nog nooit, maar dan ook echt nog nooit, een bijlage gekregen van een recruiter.

Hooguit links.

Verwijderd @MadMarky • 30 maart 2017 11:32

Dat dacht ik zelf ook. Bij mij gaat alles onmiddelijk de Recycle Bin in, als ik de afzender niet ken.

Verwijderd @Verwijderd • 30 maart 2017 11:42

maar dan kun je dus nooit een nieuwe persoon leren kennen via mail

wel safe though!

RVervuurt @MadMarky • 30 maart 2017 10:39

Nouja, ik vind dit wel iets heel anders dan een "hier is een rekening voor een bedrijf in Amerika" of "hier is een rekening voor je KPN-verbinding. We hebben nog nooit rekeningen gestuurd, want je bent geen klant, maar asjeblieft". Een headhunter kan zo'n mail ook sturen, al zou deze waarschijnlijk in de mail zelf ook wat meer info schrijven ipv "je kan alles in het doc-bestand zien".

Ik vind het juist logisch dat ze zo'n bestand openen, want het hebben van veel en goede repo's heeft volgens mij velen al een baan opgeleverd.

[Reactie gewijzigd door RVervuurt op 2 augustus 2024 16:56]

Rinzwind @RVervuurt • 30 maart 2017 11:47

En wat dan? Dan krijg je macro waarschuwingen en een ontwikkelaar mag hopelijk wle weten wat een macro is en kan doen.

RVervuurt @Rinzwind • 30 maart 2017 12:10

Eens, dan moeten alle alarmbellen gaan rinkelen, maar ook dat kan omzeild worden, als ik Devion z'n post mag geloven.

RVervuurt @Leroy • 30 maart 2017 11:34

Waar kan jij precies aan zien dat dit om een scam gaat? Er staat nergens iets over een ISP waar je niets mee te maken hebt, nergens iets over een verre tante die dood is gegaan in Nigeria etc.

Of ik de attachment zou openen hangt af van m'n werksituatie op dat moment, maar ik vind niets in deze mail roepen "SCAM".

Leroy @RVervuurt • 30 maart 2017 12:04

1. Een attachment met de gegevens, terwijl alle gegevens prima direct in de e-mail hadden kunnen staan.
2. Geen verwijzingen naar de zogenaamde github-projecten.
3. Mail niet "ondertekend". Elk professioneel bedrijf heeft gewoon een signature.
4. "..to find details about company and job"

Sorry hoor, maar als je hier intrapt kun je jezelf gewoon geen developer noemen.

RVervuurt @Leroy • 30 maart 2017 12:13

Developers zijn ook gewoon mensen en die maken dus ook gewoon fouten. En aangezien deze meer op developers is gericht, zal er ook gewoon een dev intrappen.

Je moet het menselijk brein niet overschatten, ongeacht hoe hoog opgeleid, het blijven mensen. Als je net iemand weet te mailen die al maanden thuis zit en leuke projectjes doet, maar geen baan weet te vinden, heb je waarschijnlijk al beet. Ongeacht of deze persoon een zeer goede dev is, of niet.