Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Backdoor gebruikt Instagram-commentaar voor communicatie met server'

Beveiligingsbedrijf ESET heeft een kwaadaardige Firefox-extensie ontdekt, die als backdoor fungeert en van Instagram-commentaar gebruikmaakt om verbinding te maken met een command-and-controlserver. De backdoor wordt gebruikt door de Turla-groep.

Het bedrijf kwam de extensie tegen tijdens een onderzoek naar de Turla-groep, die van Russische oorsprong lijkt te zijn en waarvan eerder bleek dat deze satellietverbindingen kaapte voor communicatie met c2-servers. Daarnaast gebruikt de groepering zogenaamde watering holes, waarmee zij zich richt op overheden en diplomaten, aldus ESET. Bij de Firefox-extensie, die 'html5 encoding 0.3.7' heet, gaat het om een eenvoudige JavaScript-backdoor, die wordt verspreid via de gehackte website van een Zwitsers beveiligingsbedrijf.

De verbinding werd gemaakt door gebruik te maken van het commentaar op een specifieke Instagram-post van Britney Spears. De extensie bevat code die van elke reactie op de post een aangepaste hashwaarde berekent. Als deze uitkomt op 183, wordt met behulp van regex het pad van een bit.ly-url vastgesteld. De onderzoekers vonden maar één reactie waarvan de hash de gewenste uitkomst had. Deze verwees na toepassing van de regex naar een bepaalde url. Deze werd in het verleden al eens gebruikt als een c2-server in Turla-campagnes, schrijft ESET. Misschien gaat het bij de extensie om een test, omdat de url slechts zeventien keer is bezocht.

Het commentaar op de post bevat bovendien zogenaamde zero width joiners, die worden gebruikt om bepaalde karakters met elkaar te verbinden. De backdoor zelf is relatief eenvoudig, merken de onderzoekers op. Deze biedt de mogelijkheid tot het uitvoeren van bestanden, uploads en downloads naar de c2-server en het uitlezen van directories. Volgens ESET maakt het gebruik van de Instagram-methode het moeilijk om het verkeer met de c2-server als kwaadaardig aan te merken. Daarnaast biedt het de aanvallers de mogelijkheid om van c2-server te veranderen, mocht dit nodig zijn.

Door Sander van Voorst

Nieuwsredacteur

07-06-2017 • 10:34

21 Linkedin Google+

Reacties (21)

Wijzig sortering
Wel belangrijk om te weten is dat het plan is om alle traditionele extensies niet meer te laten werken vanaf Firefox 57. Alles moet dan overstappen op de WebExtensions API, een API die gebaseerd is op de API van Chrome (maar wat meer uitgebreid).

Dus als je nog veel traditionele extensies hebt wordt het misschien tijd om alternatieven te gaan zoeken (of te maken). In principe zou je met WebExtensions alle extensies van Chrome moeten kunnen gebruiken, maar ik geloof dat de implementatie in huidige Firefox nog niet helemaal af is. Je zou Chrome Store Foxified kunnen gebruiken als je een Chrome extensie in Firefox wilt proberen ;)
De WebExtensions implementatie in Firefox werkt prima. Ik ben momenteel bezig met een Edge/Chrome/Firefox extensie en het is 1 gedeelde broncode die in alledrie werkt
Kwaadaardige extensies zijn geen nieuws. Steganografie is dat nog altijd wel. Een serieuze tweaker zal dus eerder geļnteresseerd zijn in die communicatiemethode dan in het feit dat er een dubieuze executable in omloop is.
Nee, waarschijnlijk post bijna niemand daar nog iets, dus lage kans om per ongeluk die hash te triggeren :+
en misschien goed om daar dan ook weer bij te vermelden hoe ze aan deze 17 hits komen.

Toevallig kwam ik er zelf achter dat sommige shortener URLs hun history publiekelijk inzichtelijk maken d.m.v. een + of - teken achter de URL te plaatsen

https://bitly.com/2kdhuHX+

(gebruik het zelf om shorterner URLs in phising e-mail berichten te bekijken en dan heb je gelijk een idee in welk land de meeste besmettingen plaatsvinden)
Toevallig een lekje - wel,wel - wie wil dat soort platformen nog gebruiken? Ik alvast niet - instagram, facebook en consoorten staan al even op 127.0.0.1 in /etc/hosts

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True