Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Via PowerPoint-bestanden verspreide trojan richt zich op Nederlandse bedrijven'

Door , 65 reacties

Beveiligingsbedrijf Trend Micro meldt dat het een malwarecampagne met PowerPoint-bestanden heeft ontdekt die zich richt op Europese landen, voornamelijk landen als Nederland, het VK en Polen. Infectie vindt plaats door met de muis boven een link in het bestand te zweven.

Het bedrijf schrijft dat het daardoor niet is vereist dat een gebruiker daadwerkelijk op een van de afbeeldingen of links in de tekst klikt. Normaal gesproken vindt infectie door kwaadaardige Office-bestanden plaats door gebruik van macro's, maar deze variant is een uitzondering. Gebruikers moeten wel eerst 'protected view' uitschakelen om kwetsbaar te zijn. Bovendien werkt de methode alleen op de desktopversie van PowerPoint en niet op de webversie, aldus Trend Micro.

De verspreiding vindt plaats door spamberichten met daarin kwaadaardige ppsx- of pps-bestanden, die zich voordoen als factuur of als bevestiging van een bestelling. Als de gebruiker de getoonde waarschuwing negeert nadat hij de muisaanwijzer over de inhoud heen heeft gehaald, wordt er een PowerShell-script uitgevoerd. Dat zorgt ervoor dat er een aparte downloader wordt binnengehaald, die op zijn beurt weer een payload van een command-and-control-server ophaalt. Daarbij gaat het om een banking-trojan, die bekendstaat als Otlard of Gootkit.

De getoonde beveiligingswaarschuwing

Door Sander van Voorst

Nieuwsredacteur

09-06-2017 • 21:14

65 Linkedin Google+

Reacties (65)

Wijzig sortering
Het nieuwsbericht mist wat mij betreft nog een stukje namelijk hoe je dit kan voorkomen.
Is er een patch, is er een URL voor het c&c center?
Voorkomen:
1. Zet de standaard beveiliging niet uit
2. Negeer de veiligheidswaarschuwing niet
3. Draai niet als Admin een basaal iets als office applicaties
0. Geloof niet dat een factuur in powerpoint formaat wordt gestuurd
Geloof niet dat een gebruiker applicatie extensies standaard ziet, dan wel op het icoontje let.
Juist ja, want op de meeste ossen staat tonen van extenties standaard uit 8)7
Osx anders deels ook.
Juist, en zelf vind ik dat altijd zeer irritant, want dan zie ik niet meteen om wat voor bestand het werkelijk draait.
Dit dacht ik dus ook, sinds wanneer sturen bedrijven hun facturen in powerpoint formaat?

Misschien om de pijn te verzachten van een te hoge factuur gooien ze er een leuke powerpoint presentatie bij hahaha!
Precies, zo denken jij en ik, maar de gemiddelde "Henk en Greet" misschien niet.
Jaja daar trappen mensen dus vol in.

Lege mail, bijlage in zip, vage afzender, in de zip doc file of pdf die opent men want ja het kan mogelijk een offerte zijn.
3. Draai niet als Admin een basaal iets als office applicaties
En als je een Windows en Office versie hebt die gekoppeld is aan een Microsoft Account?
Dan hoef je hem nog steeds niet als admin te draaien. Werkt prima als normale user.
Nu zeg jij mij ook weer iets, na installatie was ik lid van de gebruikers- en administratorgroep. Misschien moet ik me ook maar weer toevoegen aan de gebruikersgroep, maar daar staat dus ook het Interactief-account en geverifieerde gebruiker-account.

Dus niet, je kunt geen gebruiker en administrator zijn of wel, en dan ga ik dus de mist in met m'n Windows Phone, want daar kan ik alleen gebruiker zijn, en ik heb ook geen zwervend profiel, want dat wordt te groot om te laden op mijn telefoon.

Ik weet het niet.

[Reactie gewijzigd door didjas op 9 juni 2017 23:39]

je kan in via de cmd; control userpasswords2
in de accountconfiguratie komen en dan moet je 1 account aanmaken voor je admin gebeuren en 1 account als gebruiker voor je dagelijkse shite, wil je het (redelijk) dicht timmeren
Uit de bron bij trendmicro
Related C&C domains:

hxxp://cccn[.]nl/c[.]php
hxxp://cccn[.]nl/2[.]2
hxxp://basisinkomen[.]nl/a[.]php
IP Addresses and URLs related to the compromised websites used as C&C server and for sending spam emails:

hxxp://netart[.]pl
hxxp://chnet[.]se
77[.]55[.]8[.]61
85[.]128[.]212[.]154
91[.]211[.]2[.]112

/edit
Wat ik alleen niet helemaal snap, is via SIDN kom je vrij snel achter wie de eigenaar is...

[Reactie gewijzigd door citegrene op 9 juni 2017 22:16]

Wat ik alleen niet helemaal snap, is via SIDN kom je vrij snel achter wie de eigenaar is...
Helaas. Via SIDN kom je vrij snel achter de gegevens die de registrant heeft opgegeven. Afhankelijk van de gebruikte registrar hoeven die gegevens niet echt te zijn. Ja, de voorwaarden van de SIDN zeggen dat ze echt moeten zijn en een dergelijk domain zal dus ook vrij snel in quarantaine worden gezet, maar het kwaad is dan al geschied.
Bedankt. Op pihole deze op de bloklijst gezet.
Alleen heeft SIDN niets te zeggen over .pl domeinnamen of .se domeinnamen of simpelweg ip-adressen.

Oftewel SIDN is hier geen partij in. Het is maar net de vraag of je je in polen wel moet registreren met officiele goede gegevens.
Open geen mails waarbij je de verzender een onbekende is.
Een powerpoint bestand die zich voordoet als factuur. Zijn mensen echt zo naïef? Dat valt toch gelijk op dat er iets niet in de haak is.
Dat, en die grote waarschuwing dat het bestand iets wil uitvoeren bewust negeren.

Helaas zullen er wel weer genoeg gebruikers in trappen. Eentje in een bedrijf is natuurlijk al genoeg om een serieuze impact te hebben.
Als je je users scripts laat uitvoeren zonder admin rechten dan doe je denk ik iets niet helemaal goed als it afdeling.

Jaja zat mensen die local admin zijn op hun systeem binnen het bedrijf. :O
Met alle respect, ik denk dat je wellicht een stukje real-life ervaring mist in het segment bedrijfsnetwerken/softwarecultuur. Ik weet niet voor welk bedrijf je werkt in welke capaciteit, maar genoeg bedrijven waar je als ITer/beheerder niet zomaar even het beleid uitmaakt.

Ik ben erg vaak tegen zaken aangelopen waar je geforceerd bent om rotpraktijken toe te laten. Met oudere Java versie online. Ik zie je ogen al rollen. Maar dan verbied je dat toch/dat installeer je toch niet?

Helaas. De klant laat alleen uploads van documenten toe via deze oude webapplicatie van ze. Hoe ze nog niet gehackt zijn, dat snap je eigenlijk niet, maar het enige wat je wel weet is dat als ze de documenten niet op tijd, via hun methode krijgen, ze naar een ander gaan en daar hun miljoenen wel uitgeven (dit was in de bedrijfstak van de medische wereld) en als jij daar dan de schuld van bent, dat de hoofden van bepaalde afdelingen niets van je heel laten.

Zo dus ook met hele structuren die afdelingen zelf hebben opgebouwd in Excel, met macro's, oude apps van partijen die nu al failliet zijn, HR-software die local admin vereist om NFC/RFID badges te bewerken/printen en andere rommel. Zo snel vervang je dat allemaal niet zonder een hele afdeling lam te leggen en je bedrijf tienduizenden euro's te kosten. Die keuze ligt 9/10 keer niet bij de IT-afdeling, want de meesten zouden er inderdaad met de botte bijl doorheen hakken en alles het liefst de deur uit mikken.

[Reactie gewijzigd door ItsNotRudy op 9 juni 2017 23:07]

Hoe doe je dat als mensen apparaten van thuis mee nemen?
Jij laat mensen toe op je Domain als ze van huis komen?

Enige wat ik ze toe laat is de networkboot. Want er zijn genoeg medewerkers die ook een frisse Windows installatie willen hebben en wij teveel licenties hebben dus voor ze installeren.

Daarna gaat die gewoon het gasten netwerk op.
En hoe kpmen ze dan bij hun bedrijf gegevens en werk mappen? Via samba? Via rdp? Of lopen ze met usb stickies rond om files te delen? Of werken ze niet samen! Dat kan natuurlijk ook.
Nja werkgerelateerde bestanden komen op de werk laptop etcetc en niet ergens anders. Je laat je werknemers toch niet op hun eigen thuis laptop computer bedrijfsgegevens overdragen 8)7

Op je werklaptop etcetc heb je natuurlijk een image met veiligheidsmaatregelen neem ik aan. VPN / RDP / DMZ Verbindung. Veel bedrijven gaan langzamer ✋ over op Citrix etcetc..
Vaak hebben bedrijven nu bring your own device. En dat is dus hun eigen prive laptop.

[Reactie gewijzigd door 90732 op 10 juni 2017 05:48]

Wat is vaak? Ik ken geen enkel bedrijf dat aan byod doet. Misschien gebeurt dit vaker dan gemiddeld in de it-sector.

Zit zelf overigens niet in de it.

[Reactie gewijzigd door m-vw op 10 juni 2017 11:10]

Wij gaan gelukkig over van Citrix naar een fatsoenlijke VPN. Gatver wat is dat Citrix 3x niks waardeloos. Dat is werken als een verlamd persoon.
Citrix met Safenet tokens ;) en Sharefile is een uitermate goed systeem ;) die je zelf goed kan beheren in de AD (via RBAC) ach ja, het is hoe je het wilt beveiligen binnen jou infrastructuur! Bij ons wordt er contant naar verbeteringen gezocht en dit is er wel eentje! BYOD is overigens tot nu toe waar ik heb gewerkt nooit gebruikt. Altijd is het apparatuur van de zaak ;) logisch ook want dat is apparatuur van ¤1000,- daar wilt iedereen op. En als ze het meenemen is het toch echt alleen via het gasten netwerk omdat er toch geen VPN - lijn naar de servers wordt getrokken via het gastennetwerk...
Mag hopen dat de apparatuur van thuis niet in het domain zit en in een anders vlan zit qua netwerk acces.
Maar alsnog op een manier toegang heeft tot bedrijfsgegevens, of die nou lokaal of op een share staan (of via een VPN met RDP waar de gebruiker zo handig was om de shares te mappen in zijn eigen laptop...)
Been there, had to fix that...
Probeer dat maar eens volledig te blokkeren. Halve bedrijven draaien (nog steeds) op macros en vba in office bestanden, zelfs in grote ondernemingen.

Geen idee of office het toelaat om externe scripts uit te schakelen zodat een normale gebruiker het niet kan activeren, maar dat zal in heel wat bedrijven niet geblokkeerd zijn. Ofwel omdat men er nooit aan gedacht heeft, ofwel omdat het voor een of andere applicatie nodig is.

Noem 1 exotische feature met (beveiligings)problemen en er bestaat wel een businesstoepassing die het gebruikt. Dan is het altijd een afweging maken, en als het teveel kost om een alternatief te zoeken zal die feature in de meeste bedrijven snel geactiveerd zijn.
Ik werk voor een wereldmarktleider. Half mijn werk bestaat uit gebruik van macro's, VBA en JAVA om alles te kunnen bewerkstelligen wat ik doe qua productie.


.... en we gebruiken McAfee :/

[Reactie gewijzigd door SkyStreaker op 10 juni 2017 13:11]

Veel mensen kijken niet eens goed naar een file-extension, en als ze dat wel doen, dan bestaat de kans ook nog dat .pdf genoeg op .ppt lijkt om het aan te klikken.

Het is voor ons tweakers wellicht vanzelfsprekend, maar ik kan me niet voorstellen dat zelfs na al die jaren waarschuwen het nog niet volledig doorgedrongen is aan de gebruikers om iets wat je niet vertrouwd, weg te gooien. Of bij twijfel, in ieder geval een ICT-kundig iemand er bij halen. Maar vaak,When in doubt, its probably fraud.
Ik zit bij een organisatie waar we dit gelukkig aardig bij de gebruikers er in hebben gestampt om dit soort dingen niet te openen of als ze het niet vertrouwen het mailtje door ons te laten controleren en dan wijzen we meteen wat er niet aan zoiets klopt. En als ze wel op de link klikken zonder aan de IT afdeling te vragen dan triggert onze firewall omdat het IP of de DNS verwijzing naar een kwaadaardige link gaat. Ook hebben we natuurlijk nog een virusscanner draaien die op dit soort dingen afgaat.
Vaak zijn gebruikers handig genoeg om iemand die 'IT kundig' is aan te spreken maar hebben ze zelf geen idee en geen manier om dat te toetsen ;)
Dus die collega die vorige week een mooie spreadsheet met macros heeft gemaakt wordt gevraagd want die weet het wel.........
Net zo naïef als beveiligde modus uitzetten op een onbekend document. Ja.
Dat is waar ook, was heel die beveiligingslaag al vergeten.

Ik ga even een paar facturen presenteren! Aju
Een powerpoint bestand die zich voordoet als factuur. Zijn mensen echt zo naïef? Dat valt toch gelijk op dat er iets niet in de haak is.
Je wilt niet weten hoeveel mensen zo naïef zijn😕
Er komen ook genoeg 'facturen' binnen met een zip extensie.
Vergis je niet in de stommiteiten van mensen die geen verstand hebben van technologie. Mijn baas had iets aan de hand met KPN over een foute factuur, en toevallig kreeg hij net in zijn spam toen een email met een gelinkte "factuur" van KPN. Hij op de link geklikt, Outlook blokkeerde het. Hij dat uitgezet en alsnog geklikt, want ja, social engineering. Hoppakee, ransomware infectie op het werk.

[Reactie gewijzigd door s1h4d0w op 9 juni 2017 22:03]

Pdf.exe doen ze ook dus verbaast mij niks.
Een powershell script openen op een cliënt computer. Waren daar geen admin permissies voor nodig ? Tevens hoop ik dat bedrijven hun omgeving zo hebben ingericht dat users sowieso geen scripts zonder admin rechten mogen uitvoeren. Lijkt mij dat er dan dus niet zoveel aan de hand is toch ?

Behalve als de User local admin op zijn systeem is natuurlijk...

Edit: dit is volgens mij de Execution Policy welke op Windows 10 sowieso op Restricted als default staat. Hele script draaien zal dus worden tegengehouden. Tenzij je dit bij de stellingen heb uitgeschakeld of via een gpo op organisatie niveau

[Reactie gewijzigd door HKLM_ op 9 juni 2017 21:40]

Een powershell script openen op een cliënt computer. Waren daar geen admin permissies voor nodig ?
Het gaat over Powerpoint, niet powershell.
Het gaat om een Powershell script dat in een PowerPoint bestand aangeboden wordt.
Powershell scripts hebben uiteraard geen admin rechten nodig tenzij je admin acties uitvoerd. Daar geeft powershell (of tevens cmd) je access denied. Daarnaast moet je voor internet scripts "remote signing" aan zetten wat niet zonder admin rechten kan...

De basis is dus wel redelijk voor elkaar echter zal deze trojan zich waarschijnlijk gewoon nestelen in de user-space. Daarna kun je genoeg acties uithalen om alsnog admin rechten toe te eigenen.
Powershell policy is eenvoudig te omzeilen. Minstens 10 bekende alternatieven. Dat is voor een goede ontwikkelaar echt geen blokkade 😪
Tevens hoop ik dat bedrijven hun omgeving zo hebben ingericht dat users sowieso geen scripts zonder admin rechten mogen uitvoeren.
goed punt maar op de IT afdeling waat dit ook weer onwenselijk is kan een naieve stagair het toch gewoon openen?
In deze video wordt het één en ander uitgelegd over de werking van deze infectie methode.
Mmm even hoveren om te kijken waar de link naar toe gaat. :+
Als je het mij vraagt hadden ze dit soort functionaliteiten nooit moeten toevoegen ( externe programma's vanaf een link hover uitvoeren, überhaupt geen mogelijkheid inbouwen om externe programma's te openen ). Dit gaat naar mijn mening compleet buiten de scope van een Office Pakket.

Maar ja, mensen gebruiken Office vaak, worden goed in Office, en gaan steeds meer van Office vragen, en Microsoft levert.

Vervolgens hebben ze zoiets bedacht als Protected View, zodat mensen eerst bedenken of ze dit willen uitvoeren of dat het van een onbekende bron komt en gestopt moet worden adhv een pop-up.. Als we een ding geleerd hebben van pop-ups als die, is dat de gemiddelde gebruiker dit obstakel zo snel mogelijk weg klikt, als het in de weg staat van een actie die ze zojuist wouden uitvoeren. Zo vaak naast mensen gezeten die pop-ups instinctief wegklikken zonder ook maar een woord te lezen.
Kun je wel zeggen. Begon met Active Desktop in '98 se. Maar als je naar dat filmpje kijkt wat Lick aanhaalt is het gewoon een ODF-bestand, en ActiveX staat idd vooraan in de code, en wat verderop na 7min alleen maar doc, xls, ppt, rtf, txt, raw, nrw (Duitsland?), 3fr (France 3), geen docx enz... OLE OLE OLE.

[Reactie gewijzigd door didjas op 10 juni 2017 03:09]

Ga met de muis naar de rechterbovenhoek... :+
klik weg, hang op, bel uw bank!
Volgens mij heet dat ActiveX, heb ik ook een keer meegemaakt toen ik ernaar aan 't kijken was, een puntje in beeld, en het was geen dooie pixel.
Dus het bestand kan de extensie hebben van een PowerPoint bestand, maar dat hoeft het niet te zijn.

[Reactie gewijzigd door didjas op 9 juni 2017 22:40]

Nog ff en je kan stoppen met dat hele email, er komt zo idioot veel zooi binnen. Zelfs emails met ''KLIK HIER OM JE UIT TE SCHRIJVEN VAN NIEUWSBRIEF' malware
Weet iemand of LibreOffice / Openoffice ook kwetsbaar hiervoor is?
Hoe zit het met de gebruikers die geen Office gebruiken maar bijvoorbeeld LibreOffice of OpenOffice?
Zijn die net zo kwetsbaar?
Ik denk het niet maar ik heb het niet zelf een import uit powerpoint getest. Ik kan in Libreoffice Impress in ieder geval niet zelf een OnMouseOver actie aanmaken.

Op de wiki van Openoffice vond ik dit:
"PowerPoint provides action settings for mouseover, but Impress does not have this option, only on mouse click, so mouseovers get mapped to mouse clicks. PowerPoint has an option for highlighting the object on mouse click or mouse over; Impress does not have this, so it gets ignored on import. "

bron

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*