Microsoft waarschuwt voor opmars Adrozek-malware die zich op browsers richt

Microsoft waarschuwt voor de opmars van Adrozek-malware. Deze malwarevariant heeft als doel om heimelijke advertenties in de zoekresultaten van zoekmachines te plaatsen. Zowel Google Chrome, Microsoft Edge, Yandex Browser als Mozilla Firefox zijn getroffen.

De malware valt volgens Microsoft onder de zogenaamde Androzek-browser modifiers. Dit type malware installeert extensies, wijzigt de dll-libraries per browser en past de browserinstellingen aan zodat niet-officiële advertenties verschijnen tussen zoekresultaten van zoekmachines. In Microsoft Edge past de malware bijvoorbeeld een bepaalde dll-library aan om integriteitscontroles te omzeilen. Op deze manier hopen kwaadwilligen dat de gebruikers op hun ongeautoriseerde advertenties klikken. Volgens Microsoft worden de hackers betaald om bezoekers om te leiden naar de webpagina’s achter deze advertenties. Omdat zoveel browsers het doelwit zijn van deze malwarevariant, vermoedt Microsoft dat de makers zoveel mogelijk gebruikers willen treffen.

Microsoft schat dat de malware al vanaf mei 2020 in grote getale actief was, voornamelijk in Europa en Zuid(oost)-Azië. Tussen mei en september van dit jaar registreerde het bedrijf wereldwijd honderdduizenden gevallen van de Adrozek-malware. Het ontdekte in deze periode meer dan 159 unieke domeinnamen die elk gemiddeld 17.300 unieke url’s bevatten met elk gemiddeld 15.300 links naar de malware. Microsoft stelt dat gezien de immense schaal van de malwareaanvallen een wereldwijde verspreiding binnen de verwachtingen ligt.

Malware in de vorm van browser modifiers is niet nieuw volgens de softwaregigant. Dit type malware wordt volgens het bedrijf uit Redmond wel steeds geavanceerder. Bovendien houdt het enorm veel risico in omdat nietsvermoedende gebruikers gevoelige informatie in de getroffen browsers invoeren. Gebruikers die getroffen zijn door de malware dienen volgens Microsoft hun browser volledig te herinstalleren en kunnen onder andere de anti-malwarediensten van Microsoft gebruiken ter preventie van een nieuwe infectie.

'Comparison of search results pages on an affected machine and one with Adrozek running.' - Microsoft 365 Defender Research Team

Door Jay Stout

Redacteur

Feedback • 11-12-2020 21:08 149

11-12-2020 • 21:08

149

Lees meer

Microsoft Windows 10 Home NL

geen prijs bekend

3.5 van 5 sterren
Experts: nieuwe programmeertalen zijn geliefd bij malwaremakers
Experts: nieuwe programmeertalen zijn geliefd bij malwaremakers Nieuws van 16 augustus 2022
Besturingssystemen Microsoft Windows

Reacties (149)

-Moderatie-faq
149
144
80
12
0
51
Wijzig sortering
5pë©ïàál_Tèkén 11 december 2020 21:31
Deze malware komt via Drive by Download op de PC. [bron]
A drive-by download attack refers to the unintentional download of malicious code to your computer or mobile device that leaves you open to a cyberattack. You don't have to click on anything, press download, or open a malicious email attachment to become infected.

A drive-by download can take advantage of an app, operating system, or web browser that contains security flaws due to unsuccessful updates or lack of updates. Unlike many other types of cyberattack, a drive-by doesn't rely on the user to do anything to actively enable the attack.
[bron]

De beste (maar ook meest rigoureuze) manier om dit te voorkomen in Firefox is door NoScript te gebruiken. Hierdoor staat de javascript van pagina's automatisch uit, tenzij de user dit (tijdelijk) toestaat.

[Reactie gewijzigd door 5pë©ïàál_Tèkén op 23 juli 2024 08:30]

jochem4207 @5pë©ïàál_Tèkén11 december 2020 21:45
Sorry. JavaScript uitzetten in deze tijd. Dan houd je geen bezoekbare pagina meer over.

Dan kan je wel zeggen, je laat alleen sites toe die je kent, maar ook die hebben vaak al malware geserveerd via malafide ads.
Keypunchie @jochem420711 december 2020 22:03
Sorry. JavaScript uitzetten in deze tijd. Dan houd je geen bezoekbare pagina meer over.
Het vereist enige aandacht (en ik heb wat whitelisting). Maar in principe staat bij mij alle JavaScript behalve voor het domein dat ik bezoek uit.

Dus voor Tweakers.net laadt ik wel de Javascript voor Tweakers.net, maar waarom ik code zou moeten uitvoeren van usabilla.com, cxsense.com, smartocto.com, google-analytics.com en googletagservices.com, is me wat onduidelijk.

[Reactie gewijzigd door Keypunchie op 23 juli 2024 08:30]

Ed Vertijsment @Keypunchie11 december 2020 23:31
Vraagje: wat gebruik je hiervoor?
guillaume @Ed Vertijsment12 december 2020 15:44
Iedereen die NoScript gebruikt... ik snap dat niet. Je kunt hiervoor ook prima gewoon uBlock Origin gebruiken én dan by default gewoon instellen dat alleen 3rd-party scripts en 3rd-party frames niét worden ingeladen, terwijl inline en 1st-party scripts nog worden toegelaten. Dat scheelt al een slok op een borrel (zeker in Firefox, waar uBlock Origin ook CNAME cloaking kan tegengaan), zonder dat iedere website direct plat gaat.

(Alleen even "I am an advanced user" aanvinken in de uBlock-instellingen)
YangWenli @guillaume13 december 2020 11:10
Met ublock heb ik uberhaupt al jaren geen advertenties gezien in zoekmachines }>
guillaume @YangWenli13 december 2020 17:46
Mjah ok, maar daar gaat 't in dit geval even niet over natuurlijk. Het gaat in dit draadje van @5pë©ïàál_Tèkén over het blokkeren van malafide scripts, zodat die malware geen kans krijgt om gedownload en geactiveerd te worden. In dit geval zorgt de malware dan toevallig weer voor advertenties op websites zoals zoekmachines.
DKSCC @guillaume14 december 2020 18:27
??? Dan snap je absoluut weinig over tracking en hacking.

Misschien een idee om wat meer in te lezen over NoScript?

[Reactie gewijzigd door DKSCC op 23 juli 2024 08:30]

guillaume @DKSCC14 december 2020 21:32
Dan mag je dan uitleggen voor me, want ik heb de tutorials op de NoScript-website toch echt wel doorgenomen. Voor zover ik weet blokkeert NoScript by default JavaScipt, frames, Flash/plugins - behalve wat je whitelist - op basis van (sub)domein (kan ook omgedraaid). Dit is ook af te vangen met uBlock Origin, danwel door geheel scripts en frames te blokkeren by default, danwel door alleen 3rd-party scripts en frames te blokkeren (ik zei "dat scheelt al een slok op een borrel", ik zei niet "dan ben je er ook op hetzelfde niveau"). Vervolgens kun je ook gaan greylisten of helemaal whitelisten op (sub)domeinniveau. Plugins zijn ook door de browser te deactiveren by default.

Dan heb je de basis van NoScript toch echt wel. Met hardening als `privacy.firstparty.isolate` vang je ook al wat van die andere NoScript-functionaliteit af.

Ik zou graag weten waar ik dan "absoluut weinig" over weet en waar ik dan mis zit in dezen, ik leer graag bij :)

[Reactie gewijzigd door guillaume op 23 juli 2024 08:30]

Keypunchie @Ed Vertijsment12 december 2020 09:04
Inderdaad NoScript, met in ieder geval de instelling dat een bezocht domein voor de sessie ‘trusted’ is

Het is absoluut vaak niet de ‘normale’ browse-ervaring. Soms ziet je pagina er gek uit en dan moet je wat extra whitelisten, bvb. dingen die via cloudfront gehost worden.

Misschien wat contra-intuïtief, webwinkels zijn doorgaans wel ok, die verdienen hun geld met de verkoop van spullen, daar komt soms de betaling van een third-party. Of plaatjes komen van een ‘static’ domein.

Degene met de allermeeste third-party JavaScript zijn praktisch zonder uitzondering media. Volgens mij hebben die ooit de afslag gemaakt waarbij ze zich helemaal gek hebben laten maken door adverteerders en pagina’s staan bol van de trackers, behavioural analytics, social media integraties, etc. etc.

Voor privégebruik ga ik het grootste gedeelte van de tijd naar een aantal vaste sites en die staan intussen goed. Voor random zoekresultaten is het nog wel wat klikken.

Voor mijn werkbrowser heb ik geen NoScript geïnstalleerd. Daar ga ik veel minder naar externe sites sowieso (wel naar Tweakers :-)) en vertrouw ik als ik dat wel doe op de bedrijfsfilters en software voor bescherming.

[Reactie gewijzigd door Keypunchie op 23 juli 2024 08:30]

Ramoncito @Keypunchie12 december 2020 13:32
NoScript heb ik lang gebruikt, maar het is echt voor de belegen PC-gebruiker. Ik kan mijn bejaarde moeder en haar vriend dit niet aandoen. Te veel websites werken dan niet meer naar behoren... Ik heb hun gewoon KAV aangesmeerd en gezegd dat zij zo veel mogelijk onbekende websites eerst in een privévenster moeten openen :/
CH4OS @Ed Vertijsment12 december 2020 01:24
In FireFox heb je daar dus controle over als je gebruik maakt van bijvoorbeeld NoScript, zoals ook in de eerste reactie staat van deze thread. :)
cricque @Keypunchie12 december 2020 10:27
Ik heb ooit een virus gehad op een pc van het werk, het enige dat in die browser bezocht werd was HLN, Tweakers, stackoverflow, TomTom api en 2 overheidssites, jura confluence, Nooit een usb stick gebruikt, word documenten waren er bijna niet. En niemand anders had er last van. Hoe dit erop gekomen is zal me nog altijd een vraag blijven, kan bijna niet anders dan via 1 van die sites, aangezien er alleen de software op stond die ook op de server stond. En JavaScript uitschakelen en alleen inschakelen op gekende sites ... bij mij waren het ook gekende sites. Maar op niet gekende ga je bitterweinig zien
latislos @cricque12 december 2020 10:39
HLN... :) zegt al genoeg toch? :+
thibaultvdb @latislos12 december 2020 19:14
Tweakers en hln zijn beiden van dpg media :+
Keypunchie @cricque12 december 2020 11:32
Persgroep/Tweakers heeft dacht ik wel eens last gehad van foute advertenties in hun banners:
reviews: Overal een kans op een virus: hoe banners worden misbruikt

In ieder geval heb je zolang je code van buiten uitvoert/serveert, maar beperkte controle.

[Reactie gewijzigd door Keypunchie op 23 juli 2024 08:30]

d3burt @cricque13 december 2020 10:09
In de meeste gevallen staat de malware niet op de website zelf, maar op een ander domein. Die zul je als NoScript gebruiker dus zelf moeten aanzetten om er last van te hebben. Ik heb meerdere keren site owners gewaarschuwd dat ze naar malware verwezen omdat ik nieuwe script hosts zag verschijnen in NoScript.
jochem4207 @Keypunchie11 december 2020 22:45
Ja persoonlijk gaat dat mij veel te ver, om er zo veel moeite in te stoppen. Maar misschien doe ik dat wel in andere dingen, waar weer andere van staan te kijken :)
CH4OS @jochem420712 december 2020 01:23
Ja persoonlijk gaat dat mij veel te ver, om er zo veel moeite in te stoppen.
Die moeite valt op zich mee. Als je wel veel moeite moet doen om een site werkbaar te krijgen (mits je NoScript hebt geïnstalleerd that is) kun je je sowieso dan van afvragen waarom je op die pagina bent.

Een beetje fatsoenlijke website gebruikt tegenwoordig wel wat best practices, zoals minimalisatie van code (al staat dat natuurlijk hier los van), maar host dat wel ergens zelf en niet via derden.
Verwijderd @CH4OS12 december 2020 13:49
[...]
Die moeite valt op zich mee. Als je wel veel moeite moet doen om een site werkbaar te krijgen (mits je NoScript hebt geïnstalleerd that is) kun je je sowieso dan van afvragen waarom je op die pagina bent.

Een beetje fatsoenlijke website gebruikt tegenwoordig wel wat best practices, zoals minimalisatie van code (al staat dat natuurlijk hier los van), maar host dat wel ergens zelf en niet via derden.
Yes precies dit. Daarnaast is het eigenlijk een beetje als een diesel. In het begin ff langzaam opstarten omdat je al je veelgebruikte sites even langs moet om te finetunen, maar daarna valt het reuze mee. In dagelijks gebruik merk je er dan niet veel meer van.Tenzij je naar nieuwe websites gaat natuurlijk, als je echt even geen zin in gedoe hebt, zet je de plugin tijdelijk uit. Je hebt dan weer de standaard bescherming die je nu ook hebt. Je kan het jezelf zo makkelijk of lastig maken als je zelf wilt.
DoubleYouPee @Keypunchie11 december 2020 23:46
Ik heb dit ook een tijdje gedaan, maar op een gegeven moment was ik bij elke nieuwe pagina 2min bezig met excluden tot dat de pagina goed werkte. Werd er gek van....
NLAnaconda @Keypunchie12 december 2020 03:01
Omdat sommige libraries van een CDN komen. Neem jquey oid, heel populair, wordt vaak vanaf een CDN geplukt.
mschol @jochem420711 december 2020 21:51
ik vind het al jaren vreemd dat een relatief onveilige techniek als javascript standaard aan staat en veel rechten op de client heeft, deze malware toont nogmaals maar aan dat JS echt drastisch aangepast moet worden, minstens elke interactie met file system zou gewoon verboden moeten worden
R4gnax @mschol12 december 2020 12:18
ik vind het al jaren vreemd dat een relatief onveilige techniek als javascript standaard aan staat en veel rechten op de client heeft, deze malware toont nogmaals maar aan dat JS echt drastisch aangepast moet worden, minstens elke interactie met file system zou gewoon verboden moeten worden
Je weet duidelijk weinig af van hoe deze zaken in de praktijk werken als je zo'n opmerking plaatst.

Alle browsers draaien aparte processen voor de web-content, waaronder de JavaScript virtual machine, die allemaal voorzien zijn van een sandbox en sterk minder rechten hebben als het browserproces zelf.

APIs die ongecontroleerde directe interactie met het file-system geven bestaan inderdaad. Deze zijn in het leven geroepen om tegemoet te komen aan de behoeften van web-apps, zonder dat daarvoor allerlei slecht-beveiligde extensies en plugins nodig zijn, zoals in het verleden Flash en Silverlight. Deze APIs vereisen echter integraal door de browser gecontroleerde extra permissies voor ze gebruikt kunnen worden. Jij als gebruiker moet middels een prompt die vanuit het afgeschermde browser-proces wat buiten die web-content sandboxes ligt, deze rechten expliciet bevestigen.


Hoe veilig het ook is, foutjes in geheugenmanagement zoals buffer overflows en use-after-free, zullen in programm's die in inherent onveilige talen zoals C/C++ geschrijven zijn, altijd aanwezig zijn; simpelweg dankzij menselijk falen.

In zo'n situatie kan altijd gepoogd worden van deze fouten gebruik te maken om code te injecteren en kan altijd een poging ingezet worden om van andere fouten te gebruiken om uit de sandbox te ontsnappen. (Heel ironisch: Google engineers hekelen anti-virus software die zichzelf in de browser processen poogt te injecteren omdat deze in het verleden bewezen heeft zaken dusdanig te verstieren dat het zo'n ontsnapping in de hand werkt...)

Dat heeft niets met JavaScript te maken.
In het verleden is ook CSS hier vatbaar voor geweest.
En ook web-fonts zijn al eens langs gekomen.
En ook simpelweg JPG plaatjes.

Er is een tijd geweest dat je Safari kon laten crashen door gewoon een bepaalde reeks Unicode characters in de weer te geven tekst van een HTML document te hebben staan. En Internet Explorer mbv een bepaalde vorm van bewust mal-formed HTML document.

[Reactie gewijzigd door R4gnax op 23 juli 2024 08:30]

argeso @mschol11 december 2020 22:39
ik vind het al jaren vreemd dat een relatief onveilige techniek als javascript standaard aan staat en veel rechten op de client heeft, deze malware toont nogmaals maar aan dat JS echt drastisch aangepast moet worden, minstens elke interactie met file system zou gewoon verboden moeten worden
In die optiek kun je net zo goed volledig stoppen met het gebruik maken van verschillende software applicaties. Deze drive-by downloads zullen gebruik maken van exploits in verouderde browsers of browser versies. Dat is bij al het software zo dat wordt onderhouden, waarbij je als gebruiker software apps te laat of helemaal niet bijwerkt naar de laatste versie. Dus mensen, updaten die hap!

[Reactie gewijzigd door argeso op 23 juli 2024 08:30]

Daoka @mschol11 december 2020 23:12
Omdat een gemiddelde gebruiker niet weet wat javascript is. Ook.is het voor een hoop mensen te veel moeite om dit voor elke website aan te gaan zetten / whitelisten. Kijk naar de cookie meldingen. Infeite hoef je alleen okee te drukken en het is weg (even niet meegerekend dat je dan veel tracking toestemming geeft natuurlijk). Maar toch is dit irritant omdat dit voor elke website weer opnieuw gedaan moet worden.
F-I-X @mschol13 december 2020 01:47
Je wordt jammer genoeg weer de les gelezen door de experts maar je bent niet de enige.
Hoe kan het dat we nog last kunnen krijgen van een "drive-by infectie". Het bekende verkeerde klikken is iets waar je kan zeggen "dom" maar gewoon langs een site komen en geinfecteerd worden ?? In 2020 ?? Waar we al krom liggen als er weer een (CPU etc) CVE is, die zo speciaal is dat 99% van de gebruikers er geen last van zal hebben ?

Ik dacht/hoopte dat we al zover waren dat we dit toch wel dicht getimmerd hadden.
arbraxas @jochem420711 december 2020 21:50
Ik browse anders zo. En nee, uiteraard is het niet 100% waterdicht.
Maar dat is MS zijn oplossing ook niet, anders was het niet zo veel verspreid. Maar noscript gebruiken is echt aan te raden. Daarmee maak je echt het overgrote deel van het boze internet kansloos.
En bonus, een enorme hoop reclame verdwijnt ook. In mijn beleving zijn een hoop pagina`s inclusief Tweakers een stuk bezoekbaarder met Noscript.
Heraz @jochem420712 december 2020 08:08
Je zult verbaasd zijn hoeveel gewoon prima werkt.
En daarnaast hoeveel meuk er allemaal draait om je te profileren.
Als je per site begint met alles uit en alleen aanzet wat nodig is, heb je zo een snellere en veiligere browser.
Armada651 @5pë©ïàál_Tèkén12 december 2020 04:22
Uit het Microsoft artikel:
Attackers use this sprawling infrastructure to distribute hundreds of thousands of unique Adrozek installer samples. Each of these files is heavily obfuscated and uses a unique file name that follows this format: setup_<application name>_<numbers>.exe.
Dit heeft dus echt gewoon niks te maken met JavaScript. Het is een klassieke trojan, daar gaat enkel gezond verstand en wellicht Windows Defender bij helpen.
job_h @Armada65112 december 2020 10:25
Het lijkt me dat JavaScript gebruikt wordt om de initiële download van het installatiebestand te starten. Op een pc die nog niet geïnfecteerd is zal JavaScript de meeste voor de hand liggende manier zijn om een onoplettende gebruiker onbedoeld een setup_<application name>_<numbers>.exe bestand te laten downloaden.

Of specificeert Microsoft's artikel een andere methode waarop slachtoffers het .exe bestand binnen krijgen?

[Reactie gewijzigd door job_h op 23 juli 2024 08:30]

R4gnax @job_h12 december 2020 12:43
Het lijkt me dat JavaScript gebruikt wordt om de initiële download van het installatiebestand te starten.
JavaScript kan niet zomaar file downloads starten en lukraak ergens heen plempen. Dat loopt via een prompt v/d browser die vraagt om je bestand ergens heen te downloaden, of naar een voorgeconfigureerde downloads folder. En het kan zeker niet deze installatie-bestanden ook daadwerkelijk uitvoeren.

Er zijn APIs die verdere toegang geven en (subfolders van) het filesysteem direct kunnen benaderen voor lees- en schrijf-acties, maar deze vereisen extra permissies die ook eerst met een prompt door de gebruiker bevestigd moeten worden. En zaken zoals systeemfolders blijven hierbij vziw afgeschermd. (Dacht trouwens dat de minder veilige aspecten van deze APIs voor een flink deel ook weer weggehaald waren.)

[Reactie gewijzigd door R4gnax op 23 juli 2024 08:30]

job_h @R4gnax12 december 2020 12:56
Snap ik.

Armada651 stelt dat het "dus echt gewoon niks te maken heeft met JavaScript" en impliceert daarmee dat de suggestie van Kuusje om NoScript te draaien niet helpt. Daarom is mijn vraag: Hoe wordt de download gestart op een nog niet geïnfecteerde pc?

Het meest logische scenario lijkt mij dat een malafide stukje JavaScript (uit een interactieve advertentie ofzo) een download probeert te starten, een onoplettende gebruiker dat accepteert, de .exe uitvoert en besmet raakt. En in dat geval zou NoScript wel kunnen helpen.
R4gnax @job_h12 december 2020 12:59
Het meest logische scenario lijkt mij dat een malafide stukje JavaScript (uit een interactieve advertentie ofzo) een download probeert te starten, een onoplettende gebruiker dat accepteert, de .exe uitvoert en besmet raakt. En in dat geval zou NoScript wel kunnen helpen.
Een malafide advertentie kan gewoon een iframe naar een URL bevatten welke geserveerd wordt met de content-disposition HTTP header ingesteld op de waarde attachment. Op dat moment krijg je gewoon een download prompt te zien.

Heb je geen JS voor nodig.
job_h @R4gnax12 december 2020 13:10
Er zijn meerdere manieren om een download te starten, geen discussie mogelijk. Mijn punt is nog altijd dat we niet uit kunnen sluiten dat NoScript kan helpen, terwijl dat wel geïmpliceerd werd.

Om mezelf te quoten:
Daarom is mijn vraag: Hoe wordt de download gestart op een nog niet geïnfecteerde pc?

[Reactie gewijzigd door job_h op 23 juli 2024 08:30]

R4gnax @job_h12 december 2020 13:16
Mijn punt is nog altijd dat we niet uit kunnen sluiten dat NoScript kan helpen
NoScript kan helpen om de advertenties bij voorbaat te blokkeren. Maar dat kan een aggressief afgestelde ad-blocker die in beginsel alle third-party URLs blokkeert en vereist dat je ze selectief white-list, even goed.

In het verlengde daarvan staan goede block-lists, waarmee 99% ook al tegen gehouden wordt zonder dat soort doorgeschoten maatregelen. JavaScript compleet uitschakelen is voor normale gebruikers gewoonweg niet een praktische oplossing.

[Reactie gewijzigd door R4gnax op 23 juli 2024 08:30]

job_h @R4gnax12 december 2020 13:17
Inderdaad :)

[Reactie gewijzigd door job_h op 23 juli 2024 08:30]

PhilipsFan @5pë©ïàál_Tèkén12 december 2020 03:28
Helaas gebruiken de meeste sites tegenwoordig die Angular ellende of ddos-protection. Die sites werken dus helemaal niet meer zonder javascript. Waar is de gewoonte van vroeger dat je in een browser die niet alle features van een site ondersteunt, gewoon een minder mooie website laat zien? Ik interesseer mij niks voor al die eyecandy, het gaat mij om de informatie.

Ja, Noscript helpt. Voor mij. Maar hoe leg ik dit aan mijn vader uit? Zonder bij elke website gebeld te worden? Javascript had gewoon nooit moeten worden uitgevonden.
Bananenplant @PhilipsFan12 december 2020 06:43
"Angular ellende"? Presentatielogica scheiden van de services (meervoud) waar de informatie vandaan komt is de manier waarop je tegenwoordig een onderhoudbare softwarearchitectuur maakt en daarmee superfijn. Sites zijn tegenwoordig applicaties. Dat gaat echt niet meer weg.
Sandor_Clegane @Bananenplant12 december 2020 09:41
Mwoah je kunt ook prima dingen serverside renderen. Scheelt een hoop geneuzel.
Goed, het klinkt niet zo sexy, maar 90% van de sites hebben geen JS framework nodig.
cricque @Sandor_Clegane12 december 2020 10:33
Dat hangt van de content af ja, maar als jij iets interactief wilt maken, gaat dat toch echt niet zonder JavaScript. Maar het is een trend om alles single page te maken, zodat er geen refrein meer nodig is, maar dat gaat niet zonder JavaScript. Dusja serverside renderen is leuk, maar als iets wat dynamisch wilt zijn dan zal het toch niet mogelijk zijn. Maar dan denk ik dus aan backhand admin panels. Het enige wat mij voor mij echt een must is op de fronsend is form validatie, ja je doet dit op de backend ook, maar het kan zeker geen kwaad om,een formulier al eens te prechecken. Scrollspy op lange pagina’s vind ik ook een must en databases. De rest is te bekijken per pagina.
Sandor_Clegane @cricque12 december 2020 10:40
Allemaal waar, alleen een hoop sites zijn niet meer dan informatief. Waarom er dan een JS framework aan te pas moet komen ontgaat me een beetje.

Maar ja, het is weer een beetje cargo-culten heb ik het idee.
cricque @Sandor_Clegane12 december 2020 11:35
Yups, vandaar dat ik de use cases die ik kan verstaan nog aanhaalde, voor de rest informatie hoeft niet echt JavaScript en ben ik helemaal mee met je gedachtengang en denk voor 99% ook zo.
Fluttershy @Bananenplant12 december 2020 13:22
Presentatielogica scheiden van de services (meervoud) waar de informatie vandaan komt is de manier waarop je tegenwoordig een onderhoudbare softwarearchitectuur maakt
Dat klopt maar er zijn meer manieren om dat te bereiken.
Cyb @5pë©ïàál_Tèkén11 december 2020 23:51
De simpelste oplossing voor de gemiddelde Tweaker is gewoon common sense.
Adrozek-malware krijg je niet zomaar op je computer door een webpagina te bezoeken, er is bijna altijd sprake van een fout door de gebruiker, zoals het downloaden en starten van een willekeurige executable.

Als je de op deze pagina genoemde links bekijkt (meestal van AV fabrikanten), komt het over alsof het zomaar op je computer kan komen. Wat de reacties hier op dit Tweakers bericht lijken te bevestigen. Maar dat is dus meestal niet het geval, tenzij het gaat om een zero-day.

Onder common sense valt: software up-to-date houden; geen files openen die je niet gecontrolleerd hebt op veiligheid; geen standaard instellingen wijzigen naar onveilige instellingen; browser waarschuwingen serieus nemen.

NoScript, Pi-Hole, AV plugins, etc, vallen onder extra beveiliging. Maar het belangrijkste is gewoon common sense.
Baserk @5pë©ïàál_Tèkén12 december 2020 01:09
+1 voor meneer Maone.
Noscript op FF biedt zelfs zonder expliciete whitelisting voordelen.
"It protects your "trust boundaries" against cross-site scripting attacks (XSS), cross-zone DNS rebinding / CSRF attacks (router hacking), and Clickjacking attempts, thanks to its unique ClearClick technology."

uBlockOrigin (en voorganger uMatrix), van Raymond Hill, zijn ook aanraders wat dat betreft/interessant om naar te kijken, vooral ook prettig voor Chrome.

En +1 voor Sandboxie hier beneden.

[Reactie gewijzigd door Baserk op 23 juli 2024 08:30]

Vexxon @5pë©ïàál_Tèkén12 december 2020 07:22
Waarom staat deze info niet in het artikel of zie ik iets over het hoofd
Sparks.nl @5pë©ïàál_Tèkén12 december 2020 10:10
Ik gebruik noscript inmiddels al jaren. Het kost wat werk, maar is ideaal.
Ik gebruik het tegenwoordig met Chrome trouwens.
nullbyte @5pë©ïàál_Tèkén14 december 2020 13:11
Kun je net zo goed niet internetten als oplossing aanbieden. Totaal nutteloze suggestie.
Itrme @slijkie12 december 2020 11:20
Beste manier is geen websites te bezoeken, maar daar gaat het hier niet om.
cricque @slijkie12 december 2020 11:39
Linux, aandeel Mac gebruikers is groter dan Linux desktop. Dus valt meer te rapen omdat je een groter doelpubliek hebt. Uiteraard kan het op elk systeem, maar Windows is nu eenmaal meest gebruikte, dus valt meer te rapen. Dan is er Mac en dan Linux. Dus als je iets qua malware gaat maken, dan zal je je echt willen richte; op maximalisatie en zeker als je er profijt wilt uit halen. Niet da de andere ook niet kunnen “opbrengen” maar zal een pak lager liggen en al zeker op Linux desktop
karelvandongen @slijkie11 december 2020 22:56
of chromeOS deze heeft er ook geen last van }>
zalazar 11 december 2020 22:25
Ik snap sowieso al jaren niet dat iedereen maar op het Internet zit zonder extra afscherming.
Aan dit probleem is natuurlijk niet volledig wat te doen maar als je middels een Sandbox browsed dan is herinstalleren van de browser of OS nooit nodig.
Na je browser sessie kun je de Sandbox gewoon leegmaken en alle rommel is weer weg.
Op Linux is er firejail en op Windows gebruik ik al jaren Sandboxie hiervoor.
Nadat Sophos de software had afgestoten en het open-source had gemaakt had ik niet het idee dat iemand het zou oppakken. David uit Oostenrijk is er echter mee aan de slag gegaan en onderhoud de software en maakt deze ook beter. Dankzij donaties is er nu ook een code signing certificaat voor de driver. Als je op Windows werkt dan is dit een goede optie om er voor te zorgen dat extensies en andere rommel geen kans hebben.
https://github.com/sandbo...boxie/releases/tag/v0.5.0
https://www.wilderssecuri...ith-signed-driver.434924/
Daoka @zalazar11 december 2020 23:50
2 redenen. 1: de meeste mensen weten niet eens dat dit mogelijk is en weten niet wat het is. 2: het is een stuk lastiger. Elke keer dat je het leeg maakt moet je opnieuw de cookie meldingen van websites accepteren die je al geaccepteerd heb en moet je steeds opnieuw inloggen. De mensen om me heen zitten nu al met ik moet al die rot wachtwoorden onthouden of ergens noteren. En dan was de wachtwoord weer te kort en moest ik er weer een extra cijfer achter waardoor ik weer een extra wachtwoord moet onthouden. En Die website had weer een leesteken nodig dus nog een andere wachtwoord erbij. Dan moest ik me wachtwoord wijzigen maar vergeten me wachtwoordenlijst bij te werken of moet ergens anders inloggen en had die niet bij me.

Nee ik zie zulke gebruikers dat echt niet doen. Helemaal niet voor een probleem als deze artikel. Het maakt voor hun niet uit wie er betaalt krijgt voor de reclame als ze maar hun favoriete websites kunnen bekijken en hun bestelde spullen binnen krijgen. Bij sommige van deze gebruikers zet ik ook mijn eigen emailadres als herstel emailadres zidat ik tenminste weet dat bij noodgevallen ik wel toegang voor herstellen en nier dat ze weer een aantal minuten moeten zoeken voor weer een andere wachtwoord.
zalazar @Daoka12 december 2020 10:29
Ik heb eigenlijk wel dezelfde ervaring.
Bij sommige gebruikers installeer ik het wel bij andere weet ik al dat ik er niet aan hoef te beginnen omdat ze het inderdaad veel te lastig vinden.

Sinds enige tijd is er ook Defender Application Guard onder Windows 10 die min of meer hetzelfde doet.
Maar mijn ervaring is dat deze vaak vastloopt bij het opstarten, vertragend werkt, en video's zijn niet goed te bekijken (CPU load is hoog).
Windows Sandbox is een ander alternatief maar ik krijg de netwerk verbinding niet stabiel.

[Reactie gewijzigd door zalazar op 23 juli 2024 08:30]

cricque @zalazar12 december 2020 11:54
Meeste wachtwoorden zijn veel te gemakkelijk en mensen moeten gewoon veel te veel onthouden. 25 jaar geleden kende ik met gemak meer dan 50 telefoonnummers. Nu ken i, die van mijn eigen en de vaste lijn van mijn ouders en daar houdt het op. Ik heb voor wachtwoorden wel een systeem, rommel websites het simpelste toegelaten. Voor de rest een combinatie van 5-6 verschillende dingen afhankelijk van de dienst in combinatie met nog een paar andere dingen. Werkt goed voor mij, ik hoef bijna nooit wachtwoord resetten te gebruiken ofzo en alles is overal anders. Nu velen worden ook verplicht om een ander wachtwoord te kiezen op regelmatige basis, dat zien velen als de gebruiker pesten. Maar meer dan 95% van de computergebruikers heeft geen flauw benul van waar ze mee bezig zijn. Weet je wat in een saas applicatie 1 van de meest gebruikte functies is, wachtwoord reset. Dat kan je maar beter zien dat dit werkt.

Maar veel hangt af van de gebruiker. Vroeger maakte is nog wel is een pc voor iemand, dat doe ik niet meer, voor niemand. Het zijn alleen maar kopzorgen. Ooit eens bij iemand zijn netwerkprobleem gaan fixen ... had de procedure uitgeprint als het ip toch moest veranderen ... dag nadien werkte zijn Hotmail niet en was mijn fout, daar houdt het echt op voor mij.
redslow @zalazar12 december 2020 07:59
Werkt ccleaner in deze gevallen ook niet? Dus na het surfen, ccleaner aan en de rotzooi verwijderen.

[Reactie gewijzigd door redslow op 23 juli 2024 08:30]

Ramon @zalazar12 december 2020 09:03
Waarom? Omdat het niet nodig is misschien? Adblocker + do not track is zat.
bloq @zalazar12 december 2020 17:27
Firejail net maar even ingesteld, tnx voor de tip :)
pielle007 12 december 2020 07:24
Ben bezig met het lezen en leren begrijpen nav deze pagina hoe je "veilig" kunt werken

Mss dat onderstaande niet helemaal aansluit maar doe er je voordeel mee (of niet)

https://www.privacy-handbuch.de/

Inmiddels Windows UAC op hoogste prio gezet bv en de volgende instellingen in Firefox


ublock instellingen: https://www.privacy-handbuch.de/handbuch_21d2.htm

+
Dns in aanpassingen:
‘Digitale Gesellschaft 28’ it’s located in Switzerland and has the same advantages as Digitalcourage (or manually add Digitalcourage).

https://github.com/Digita...tos/browser/firefox-DE.md

Open firefox
About:config

network.trr.bootstrapAddress = 185.95.218.42
network.trr.custom_uri = https://dns.digitale-gesellschaft.ch/dns-query
network.trr.mode = 3


Firefox ondersteunt alleen gecodeerde servernaamindicatie (ESNI) voor met TLS 1.3 gecodeerde verbindingen als DNS-over-HTTPS is geactiveerd, Om ESNI te gebruiken, moet de browser een TXT-record van de website ophalen uit de DNS. Dit is alleen mogelijk met de ingebouwde Trusted Recursive Resolver. Bovendien moet de volgende waarde worden geactiveerd:

network.security.esni.enabled = true

testen kan daarna: https://www.cloudflare.com/ssl/encrypted-sni/


"about:config":

browser.display.use_document_fonts = 0
layout.css.font-loading-api.enabled = false
gfx.downloadable_fonts.enabled = false

browser.region.network.url = "" (leeg laten)
browser.region.update.enabled = false

Opt-out dafür:
browser.newtabpage.activity-stream.showSponsoredTopSites = false

firefox data verwijderen:
network.cookie.lifetimePolicy = 2

privacy.history.custom = true
places.history.enabled = false


network.cookie.lifetimePolicy = 2
privacy.history.custom = true
privacy.sanitize.sanitizeOnShutdown = true
privacy.clearOnShutdown.cache = true
privacy.clearOnShutdown.cookies = true
privacy.clearOnShutdown.downloads = true
privacy.clearOnShutdown.formdata = true
privacy.clearOnShutdown.history = true
privacy.clearOnShutdown.offlineApps = true
privacy.clearOnShutdown.sessions = true
privacy.clearOnShutdown.siteSettings = true

Disk-Cache deactiveren
browser.cache.disk.enable = false
browser.cache.disk_cache_ssl = false
browser.cache.offline.enable = false
media.cache_size = 0

media.peerconnection.enabled = false
geo.enabled = false

En add ons zoals canvas block, decentrale eyes, clearurls, firstparty isolation, no script

En nav deze post sandboxie even bekijken
zalazar in 'nieuws: Microsoft waarschuwt voor opmars Adrozek-malware die zich...

[Reactie gewijzigd door pielle007 op 23 juli 2024 08:30]

HollowGamer @pielle00712 december 2020 23:15
Waarom dit een +2 krijgt beats me. Veel opties zijn zonder referentie en kunnen je browser ervaring slopen. Link dan liever naar profile generators die je stap voor stap erdoorheen helpen en aangeven wat de consequenties zijn.
pielle007 @HollowGamer13 december 2020 09:20
Waarom dit een +2 krijgt beats me. Veel opties zijn zonder referentie en kunnen je browser ervaring slopen. Link dan liever naar profile generators die je stap voor stap erdoorheen helpen en aangeven wat de consequenties zijn.
Alle door mij gedeelde opties komen van privacy handbuch, en deze zijn op hun beurt uitgelegd incl bron verwijzingen. Succes met lezen indien je het interessant vindt (of niet zoals eerder benoemd)
RuddyMysterious @pielle00715 december 2020 09:08
Deze is een bron die bereikbaarder is (want Engels) en alles zeer goed uitlegt: https://www.ghacks.net/ov...rity-privacy-preferences/

Bijvoorbeeld:
privacy.clearOnShutdown.*

Defines which sets of data get cleared when Firefox shuts down. A value of true means the data set is cleared on exit, false that it is kept.

privacy.clearOnShutdown.cache
privacy.clearOnShutdown.cookies
privacy.clearOnShutdown.downloads
privacy.clearOnShutdown.formdata
privacy.clearOnShutdown.history
privacy.clearOnShutdown.offlineApps
privacy.clearOnShutdown.openWindows
privacy.clearOnShutdown.passwords
privacy.clearOnShutdown.sessions
privacy.clearOnShutdown.siteSettings
Verwijderd 11 december 2020 21:14
is dit tegen te houden met windows defender? of zijn hier andere mooie tools voor (liefst gratis)
nst6ldr @Verwijderd11 december 2020 21:44
Microsoft Defender Antivirus, the built-in endpoint protection solution on Windows 10, blocks this threat using behavior-based, machine learning-powered protections. For enterprises, Microsoft 365 Defender provides deep visibility into malicious behaviors.
Windows Defender zou volgens Microsoft genoeg moeten zijn, de vraag is dan alleen of browsers anders dan Edge daar ook onder vallen (staat niet impliciet vermeld).

In het kort, zonder al te technisch te worden:

De malware installeert zichzelf als een vrij regulier/onschuldig ogende software, voorbeelden waar Microsoft zelf tegenaan liep was Audiolava.exe, QuickAudio.exe en Converter.exe. Alledrie netjes geïnstallerd in in Program files en tevens als Windows Service. Dit gebeurd onder willekeurige namen, al lijkt de Windows Service altijd "Main Service" te heten.

Verder lijkt het een vrij nette malware: hij patched de browser van de gebruiker zodat deze extensions niet meer controleert op integriteit (iets wat juist uit veiligheid wordt gedaan). Daarna installeert de malware zichzelf als browser extension en zet voor zichzelf wat nuttige settings waaronder het verbergen van de extension en toegang tot de webpagina die gebruikers bekijken (inclusief incognito/private).

En als laatste krijg je er een group policy bij die voorkomt dat je automatisch updates voor je browser krijgt.

[Reactie gewijzigd door nst6ldr op 23 juli 2024 08:30]

Verwijderd @Verwijderd11 december 2020 21:35
Volgens het artikel houdt Microsoft Defender Adrozek tegen ja:
These complex behaviors, and the fact that the campaign uses polymorphic malware, require protections that focus on identifying and detecting malicious behavior. Microsoft Defender Antivirus, the built-in endpoint protection solution on Windows 10, uses behavior-based, machine learning-powered detections to block Adrozek.
Cyb 11 december 2020 22:57
Malware krijg je niet zomaar op je computer door een pagina te bezoeken. Om malware op je computer te krijgen moet het of gaan of een zero-day, of om een fout van de gebruiker. Een fout van de gebruiker kan bijv. zijn:
  • een download accepteren en vervolgens starten, zonder eerst te controleren of de download veilig is
  • het gebruiken van een verouderde browser of OS
  • het gebruiken van onveilige instellingen
  • het toestaan van onveilige acties waar de browser voor waarschuwt
In de definitie van drive-by download zit echter dat het wel zonder handeling van de gebruiker kan gebeuren, maar dat gebeurt niet zomaar, daarvoor moet de gebruiker bijv. één van de bovenstaande fouten hebben gemaakt, of het moet gaan om een zero-day.
fm77 @Cyb12 december 2020 00:26
Wat ik uit de ms link haal gaat het hier ook niet om een drive-by download, maar om een exe die gedownload wordt, en door de user geïnstalleerd moet worden. Of lees ik dat verkeerd?
Attackers use this sprawling infrastructure to distribute hundreds of thousands of unique Adrozek installer samples. Each of these files is heavily obfuscated and uses a unique file name that follows this format: setup_<application name>_<numbers>.exe.

When run, the installer drops an .exe file with a random file name in the %temp% folder. This file in drops the main payload in the Program Files folder using a file name that makes it look like a legitimate audio-related software. We have observed the malware use various names like Audiolava.exe, QuickAudio.exe, and converter.exe. The malware is installed like a usual program that can be accessed through Settings>Apps & features, and registered as a service with the same name.
Cyb @fm7712 december 2020 00:42
In https://www.microsoft.com...ffects-multiple-browsers/ schrijven ze:
The Adrozek malware is installed on devices through drive-by download.
Het downloaden en starten van malware valt ook onder de definitie van drive-by download. De definite is erg breed, er vallen eigenlijk heel veel methodes onder.

Het deel wat je quote valt buiten de definitie van drive-by download. Het is het effect wat Adrozek veroorzaakt pal nadat de drive-by download is uitgevoerd.
cricque @Cyb12 december 2020 11:57
Het kan wel, er zijn in het verleden ooit ads geweest als je die zag had je al malware en daarvoor moest je niet op iets klikken. Bij mijn weten was dit zelfs op Tweakers ooit het geval
Cyb @cricque12 december 2020 12:54
Ik zeg ook niet dat het niet kan. Ik zeg alleen dat als dat het geval is, er sprake is van de één of meer van de door mij eerder genoemde condities.
Verwijderd 11 december 2020 21:32
ahh ok MS windows defender doet het :

Effectively protecting against rampant, persistent campaigns like this that incorporate multiple components, polymorphism, and evolved malware behavior requires advanced, behavior-based detection and visibility across the whole attack chain rather than specific components. Microsoft Defender Antivirus, the built-in endpoint protection solution on Windows 10, blocks this threat using behavior-based, machine learning-powered protections. For enterprises, Microsoft 365 Defender provides deep visibility into malicious behaviors. In this blog, we’ll share our in-depth analysis of this campaign, including the distribution architecture and malware behavior, and provide recommended defenses.
bartje 11 december 2020 21:33
Het vervangen van de Dll is een gevolg. Is ook bekend wat de oorzaak is? Lijkt me belangrijker nog dan deze ads te weren.
Indir 11 december 2020 22:12
Vandaar dat Microsoft Defender Application Guard op Windows 10 inmiddels niet alleen voor Microsoft Edge aangeraden is, maar ook voor Mozilla Firefox en Google Chrome middels de Application Guard-add-on/extension.
R4gnax @Indir12 december 2020 12:54
Vandaar dat Microsoft Defender Application Guard op Windows 10 inmiddels niet alleen voor Microsoft Edge aangeraden is, maar ook voor Mozilla Firefox en Google Chrome middels de Application Guard-add-on/extension.
Uhm... die extension doet iets heel anders dan bijv. de Defender SmartScreen oplossing in Edge.
Deze kijkt of de site die je gaat bezoeken op een lijst vertrouwde sites staat die door een enterprise administrator vastgesteld is, of niet. Staat deze niet op de lijst, forceert de extensie dat deze URL in MS Edge geopend wordt.

MS Edge ondersteunt het gebruik van hardware-level isolatie van het browserproces middels de hardware virtualisatie extensies in je CPU en de hyper-visor die in Windows 10 ingebouwd is. Redenering is dat dat moet veiliger zijn dan een software-matige sandbox.

Uiteraard zou het MS sieren om Mozilla en Google te ondersteunen dit niveau van containerization ook binnen Firefox en Chrome mogelijk te maken, maar ja; dat ondermijnt natuurlijk hun business-case om iedereen naar het gebruik van Microsoft's eigen services te pushen. Deze AppGuard browser extensie daarentegen, ligt daar precies mee in lijn...

[Reactie gewijzigd door R4gnax op 23 juli 2024 08:30]

Olympia 11 december 2020 22:39
Ik ben/was ook getroffen door deze malware. Bij mij was een browserextensie de boosdoener.
Indir @Olympia12 december 2020 14:28
Welke browserextensie precies, als ik vragen mag?
Jan Doe 12 december 2020 01:24
Twee vragen :
1) Is dit alleen op de PC of ook op Apple / Linux systemen?
2) Hoe weet ik of mijn browser getroffen is?

Misschien weet iemand het antwoord...
Skyrunner @Jan Doe12 december 2020 08:17
Dat zou ik ook graag willen weten gezien Safari niet in het lijstje voorkomt.
domi1kenobi @Jan Doe13 december 2020 08:33
vroeg ik me ook af - dll is typisch Windows - snap ook niet hoe je via browser een dll kan aanpassen?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq