Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Malware injecteert code in sites Amazon en Coolblue voor stelen creditcarddata

Fox-IT heeft malware gevonden die code injecteert in websites van webshops als Coolblue en Amazon om zo creditcardgegevens van slachtoffers te stelen. Gebruikers komen aan de Windows-malware door een zip-bestand te downloaden via een link in een mail.

De malware kan code injecteren bij Coolblue, Amazon, Booking.com en Otto, naast sites van diverse banken, claimt Fox-IT. Als slachtoffers bij een van die webwinkels iets bestellen, krijgen ze via de code de opdracht om creditcardgegevens in te vullen. Die kunnen de makers van de malware vervolgens afvangen en misbruiken voor fraude.

Ongeveer 25.000 mensen hebben afgelopen dagen op de link met het zip-bestand geklikt. Hoeveel mensen de malware op hun systeem hebben staan, is onbekend. Omdat de malware alleen werkt op Windows, gebeurt er niets als mensen vanaf hun smartphone, Linux-bak of Mac op de link klikken.

Het mailtje bevat een in slecht Nederlands opgestelde tekst over een pakketzending. De malware is van het type Zeus Panda, die al veel langer de ronde doet. De aanval richt zich met de lijst ondersteunde webwinkels specifiek op de Benelux.

Website Coolblue met geïnjecteerde code van Zeus Panda

Door Arnoud Wokke

Redacteur mobile

12-12-2017 • 20:31

195 Linkedin Google+

Reacties (195)

Wijzig sortering
Gebruikers komen aan de Windows-malware door een zip-bestand te downloaden via een link in een mail.
Sorry, maar van Tweakers.net verwacht ik toch wel wat meer duidelijke informatie.
Alleen het downloaden van een echt zip bestand zorgt niet voor een infectie met malware.
Als het inderdaad een echte zipfile is, zou het zelfs als je het opent om te kijken wat er in zit, niets doen.
Standaard zijn alle windows versies zo ingesteld dat bekende bestands-extensies verborgen worden, iets wat ik nog steeds een kwalijke zaak vind. Hier zou eens wat aan gedaan moeten worden!!

Het zou handig zijn als hier op Tweakers.net duidelijkheid gegeven wordt over hoe exact de malware geïnstalleerd wordt. Is het een executable (.exe), die vermomd is als zip-file? Bijvoorbeeld: "bestand.zip.exe", dan kan het link zijn als je de standaard windows instelling niet hebt aangepast en bekende extensies verborgen worden. Je ziet dan alleen de .zip extensie en hebt niet door dat je een exe opent. Wel is het zo dat windows 8 en 10 vervolgens vragen of je daadwerkelijk een bestand wil uitvoeren, als je dan wakker wordt en "nee" selecteerd, is er nog steeds niks aan de hand. (Hoe het zit met deze waarschuwing in eerdere windows versies weet ik zo uit mijn hoofd even niet).
Voor de volledigheid, je kan malware krijgen door het gewoon downloaden van een bestand. Dat is hier echter niet het geval.

Een bug in de browser, het besturingsysteem, de zip-uitpakker van Windows Explorer, of de backup of antivirus software kan malware activeren zonder dat de gebruiker enige extra stap moet ondernemen.

Dit kwam dit jaar onder meer voor bij Windows Defender en Microsoft Forefront, waarbij een dergelijke bug ontdekt werd door het team van Google's Project zero: https://nvd.nist.gov/vuln/detail/CVE-2017-0290. Het was daarbij voldoende om gewoon te zorgen dat een specifiek malware pakket naar de disk weggeschreven werd, zonder dat het bestand daarna geopend werd.
Tweakers kan het misschien wel beter uitleggen. Als ik de kop nu lees dan lijkt het alsof amazon, coolblue enz geïnfecteerd zijn. Dat is echter niet zo denk ik.

Zoals ik het lees, je opend een bestand met malware.
Bezoek je dan amazon, coolblue of andere site uit het lijstje en ga je naar afrekenen dan grijpt de malware op jou pc in om jou creditcard gegevens te onderscheppen. De fout zit dan niet bij amazon of coolblue maar jou systeem dat het onderschept en doorstuurt.
Volgens het bronartikel volgt besmetting door het openen van het zip bestand. Ik betwijfel de juistheid hiervan en zou daarom graag meer diepgang zien in de informatie, daar dit wel een extra gevaar vormt als deze bewering klopt.

Ik heb getracht de zipfile te downloaden van de twee geleverde links. (Even de xx vervangen door tt: hxxp wordt http). De file is niet meer aanwezig. Testen kan dus niet.

Heeft iemand meer info over hoe de besmetting exact plaatsvind? Graag posten hier a.u.b.

Even in het kort: We hebben het hier over een specifiek geval. Ik vind dat dan ook specifieke informatie verstrekt dient te worden. Hoe exact vindt de infectie plaats? Is er sprake van een onverwacht gedrag, zoals een besmetting die gebruik maakt van een bug in software?

Natuurlijk is het zaak om altijd voorzichtig te zijn. Attachments zijn altijd een groot risico, ook daar ben ik het mee eens. Er is echter wel een verschil in gevaar-niveau. Een .exe is bijvoorbeeld duidelijk gevaarlijker dan een .zip. Zodra er echter afwijkend gedrag optreed, doordat men bijvoorbeeld puur door het openen van een zip-file reeds besmet wordt, hetgeen ongebruikelijk gedrag is, dan zou het verstandig zijn dat daar op gewezen wordt. Vooral op een site als Tweakers.net. Daar mag je toch wel wat technische diepgang van verwachten. (Dit alles als opbouwende kritiek bedoeld).

Tegenwoordig run ik mijn browser (Firefox) altijd in Sandboxie. Mail bekijk ik ook uitsluitend via Firefox. Een extra mail programma gebruik ik niet meer. Webbased Hotmail (Outlook) en ook Gmail werken prima. Ook heb ik "NoScript" geinstalleerd. Dit alles maakt het werk ietwat omslachtiger, maar wel aanzienlijk veiliger. Natuurlijk zal het nooit 100% veilig zijn.

Edit, toevoeging: Web info: Kun je besmet raken door het openen van een zip bestand?
Viruses are sometimes compressed inside Zip files, which are then sent as e-mail attachments. When you receive a Zip file as an e-mail attachment, double-clicking the attachment will open the Zip file in WinZip (or whatever Zip utility is installed on your system). If, within your Zip utility, you then double-click the virus-infected file, the virus can run and your computer can become infected. (An up-to-date virus scanner, scanning files in real time, will stop most infections, but the newest viruses may escape detection.)
Bron: http://kb.winzip.com/help/ZipSecurity.htm

Edit2: Bovenstaande is dus de normale situatie, zoals ik die ook ken: het downloaden en zelfs het inzien van een zip-file behoort veilig te zijn. Zodra daar een verandering optreed, door een bug bijvoorbeeld, dan is het belangrijk dat dat bekend wordt.

(Ben 58 en ervaren programmeur / ICTer).

Even over huidige moderaties: de kwaliteit van moderaties (-1mods) is mij de laatste jaren steeds meer een doorn in het oog. Tweakers.net: doe hier eens wat aan. Door dit gedrag ben ik sinds 2 jaar toch duidelijk minder fan geworden..... Ik kom hier al vanaf vrijwel het ontstaan van Tweakers en de laatste jaren ging het heel hard achteruit! Mijn originele account gebruik ik niet meer sinds 2 jaar. Wat willen jullie zijn? Een kindercrèche, of een goede informatieve technische site?

[Reactie gewijzigd door Boekenkaft op 13 december 2017 13:39]

Er zijn allerlei manieren waarop het enkel downloaden, of anders het uitpakken van een zipbestand het uitvoeren van kwaadaardige code tot gevolg kan hebben:
  • Bug in web browser (gecombineerd met een speciaal geconstrueerde HTTP reply)
  • Bug in de uitpak-software (gecombineerd met een speciaal geprepareerd zip-bestand)
  • Een of andere Windows feature die ongewenst code uitvoert (vergelijkbaar met autorun.inf). Ik neem aan dat de meeste van dit soort features (bugs) er niet meer in zitten, maar je weet nooit.
  • Bug in de display-software die de inhoud van een speciaal geprepareerd bestand in de zip (plaatje, PDF, word bestand, powerpoint, excel, etc. etc. etc.) op het scherm weergeeft.
  • Bug in de windows code die de display-software opstart, in combinatie met een speciaal geconstrueerde bestandsnaam in de zip of zo.
  • Bug in andere software die op de computer draait en het bestand onder ogen krijgt (bijv software die de inhoud van de harde schijf indexeert, om zo het zoeken naar bestanden te vergemakkelijken).
  • En ongetwijfeld méér.
En in al deze gevallen hoef je niet expliciet een exe bestand uit de zip op te starten.

Basisprincipe van beveiliging: als je gegevens uit een niet-betrouwbare bron binnenkrijgt, moet je die gedetailleerd controleren voordat je er iets mee doet. Als die controle niet volledig is (en dat is ie waarschijnlijk niet), of als je controlesoftware bugs bevat (en dat bevat die altijd), dan is je systeem feitelijk vogelvrij. De daadwerkelijke kans dat er iets gebeurt hangt van een heleboel factoren af, o.a. kwaliteit van de verschillende software (OS, zip-software, display-software, ...), virusscanner (aanwezigheid, kwaliteit, bugs, etc.), relatieve gemak waarmee de hack uit te voeren is (t.o.v. andere uitvoerbare hacks), aantrekkelijkheid van het doelwit, etc. etc.

[Reactie gewijzigd door RJG-223 op 13 december 2017 10:02]

Hoewel je het algemene principe hier goed neerzet, willen we graag weten of dat hier het geval is, en zo ja, van welke kwetsbaarheid wordt dan gebruik gemaakt. Normaal gesproken is het downloaden van een .zip bestand niet gevaarlijk. (beter was natuurlijk een dergelijk bericht direct te verwijderen).

edit: het blijkt (in eerste instantie, want nieuwe varianten mogelijk) om een fake DHL mail te gaan.

Deze bron RTL-Z zegt:
Als je alleen op het linkje hebt gedrukt maar niet het zip-bestand hebt geopend, loop je geen gevaar. Je moet het bestand in het zip-bestand hebben geopend om de malware op je computer te installeren.
Ik heb helaas geen betere bron kunnen vinden, maar de informatie lijkt completer dan op Tweakers.

[Reactie gewijzigd door Ge Someone op 13 december 2017 13:45]

Ik heb die mails ook gehad. het Begint met:

Wij zijn PostNL en wij hebben iets voor je.


PostNL
Beste, (hier staat dan je EMAIL)

Onze pakketbezorger heeft geprobeerd een pakket bij u af te leveren. Het adres wat bij ons staat genoteerd is helaas een niet bestaand adres.

Wij willen uiteraard uw pakket zo snel mogelijk verzenden. Wij hebben hiervoor wel uw hulp nodig. Wij verzoeken u vriendelijk om de volgende stappen te ondernemen:


Klik op de onderstaande link. Deze zal u naar onze Track & Trace omgeving brengen.
Geef aan waar en wanneer u uw pakket wilt ontvangen.
Wij zullen zorg dragen voor een snelle levering op het door u gekozen moment.

Naar Track & Trace


2e variant
BERICHT voor (EMAIL)
Helaas, u heeft ons gemist.
Beste (EMAIL)
Onze pakketbezorger heeft geprobeerd een pakket bij u af te leveren. Er was helaas niemand aanwezig om het pakket in ontvangst te nemen.

Kies zelf waar en wanneer u uw pakket wilt ontvangen. U ziet de mogelijkheden voor het wijzigen van de bezorging in de Track & Traceomgeving op de volgende pagina.


Voor ontvangst van uw pakket is een handtekening vereist.
Voor ontvangst van uw pakket vragen we u om een geldig legitimatiebewijs te laten zien.


Nieuwe bezorgafspraak
Nee, maar wel over DKIM. Dan staat de public key in je DNS en wordt daarmee geverifieerd dat het e-mail adres daadwerkelijk van de verwachte verzender komt. Daarnaast heb je SPF records, waarmee je aan andere mailservers verteld: dit ip, dit domein mag mailen namens dit domein.

https://nl.wikipedia.org/wiki/DomainKeys_Identified_Mail
https://nl.wikipedia.org/wiki/Sender_Policy_Framework
Gooi nog wat DMARC er overheen en je hebt de zaak redelijk dicht: https://en.wikipedia.org/wiki/DMARC

Alle 3 de onderdelen zijn relatief makkelijk aan te zetten, zeker als je met Office 365 werkt.

Goede overview: https://blogs.technet.mic...marc-and-exchange-online/

[Reactie gewijzigd door Muncher op 12 december 2017 23:02]

Je, en opeens was één van mijn hosting klanten dat soort e-mails aan het versturen met SPF en valide DKIM omdat zijn wachtwoord op straat lag.
Gelukkig heb ik limieten en komt er een melding in mijn mailbox zodat ik binnen een uur zijn wachtwoord wijzigde in iets langers.
Het geeft dus nog steeds geen garantie dat iets niet klopt.
Email adres van de verzender is zo te spoofen. Je moet dus zeker de headers nakijken dan zie je al direct of de mails effectief van binnenuit zijn verzonden of niet. En indien ze toch niet van binnenuit verzonden zijn zeker de config van je mailsetup laten aanpassen want mail van je eigen organisatie hoort niet van buitenaf te komen.
Dat is volgens mij ook precies de reden dat dit soort mails dit soort taalgebruik hebben. Het werkt bij de doelgroep die ze voor ogen hebben. Slimme mensen zullen op een later tijdstip doorhebben dat er iets niet in orde is dus die haken dan al af, daar wil je dus eigenlijk al meteen geen tijd en middelen aan verspillen.

Hier kun je een paper vinden over dit onderwerp.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True