NCSC plaatst lijst met door Flubot-malware gebruikte domeinnamen op Github

Het Nationaal Cyber Security Centrum heeft een lijst op Github geplaatst met daarin de domeinnamen waarvan de Flubot-malware gebruikmaakt. Het NCSC stelt dat organisaties op die manier kunnen nagaan of telefoons van medewerkers zijn geïnfecteerd.

Vorige maand publiceerde de Nederlandse politie nog een waarschuwing voor misleidende sms’jes die een link naar de Flubot-malware bevatte en nu publiceert het NCSC een lijst met de door Flubot gebruikte domeinnamen op Github.

In de beruchte sms'jes wordt gesuggereerd dat er een postpakket onderweg zou zijn naar de ontvanger. Bovendien wordt er gelinkt naar een Android-app die de zogenaamde Flubot-malware bevat. Deze malware zoekt naar contact-, bank- en kredietkaartgegevens om bankfraude mee te plegen. Eens geïnstalleerd kan de Flubot-malware ook berichten lezen en versturen en phishingwebsites laden wanneer er een bankapplicatie wordt opgestart.

De Belgische telecomwaakhond BIPT en het Centrum voor Cybersecurity België waarschuwden eind april voor dergelijke sms’jes. Volgens deze laatste twee organisaties hadden meer dan 9000 Belgen op de link geklikt en de malware gedownload. Beveiligingsonderzoekers van Proofpoint schreven al een artikel over de werkwijze van FluBot.

Door Jay Stout

Redacteur

Feedback • 25-06-2021 18:30 43

25-06-2021 • 18:30

43

Lees meer

Nederlandse politie verstoort infrastructuur van FluBot-Android-malware
Nederlandse politie verstoort infrastructuur van FluBot-Android-malware Nieuws van 1 juni 2022
GitHub gaat op meer kwetsbaarheden scannen met machinelearning
GitHub gaat op meer kwetsbaarheden scannen met machinelearning Nieuws van 18 februari 2022
Duizenden WordPress-sites gebruikt voor verspreiding FluBot-malware
Duizenden WordPress-sites gebruikt voor verspreiding FluBot-malware Nieuws van 30 november 2021
Politie haalt 'voor cybercriminelen belangrijke vpn-dienst' DoubleVPN offline
Politie haalt 'voor cybercriminelen belangrijke vpn-dienst' DoubleVPN offline Nieuws van 30 juni 2021
Microsoft bevestigt dat het een rootkit-driver ondertekende
Microsoft bevestigt dat het een rootkit-driver ondertekende Nieuws van 27 juni 2021
G-Data: Microsoft signeerde driver met rootkit - update
G-Data: Microsoft signeerde driver met rootkit - update Nieuws van 25 juni 2021
Verdachten ransomwareaanval Uni Maastricht gearresteerd door Oekraïense politie
Verdachten ransomwareaanval Uni Maastricht gearresteerd door Oekraïense politie Nieuws van 17 juni 2021
Nieuwe malware probeert via Windows-containers cloudomgevingen binnen te dringen
Nieuwe malware probeert via Windows-containers cloudomgevingen binnen te dringen Nieuws van 9 juni 2021
GitHub gaat malware en exploits voor 'dual-use-securityonderzoek' toch toestaan
GitHub gaat malware en exploits voor 'dual-use-securityonderzoek' toch toestaan Nieuws van 7 juni 2021
Centrum voor Cybersecurity België waarschuwt voor sms met FluBot-malware
Centrum voor Cybersecurity België waarschuwt voor sms met FluBot-malware Nieuws van 12 mei 2021
Meer producten en artikelen
Networking en security Malware Sms

Reacties (43)

-Moderatie-faq
43
41
17
2
0
14
Wijzig sortering
Videopac 25 juni 2021 19:08
Is er ook een lijst voor Pi-Hole die snel bijgewerkt wordt? Zou handig zijn NCSC (of iemand anders) dat ging doen.
Webgnome @Videopac25 juni 2021 20:39
Heb ze maar even in één grote lijst gezet:

https://github.com/jjtbso...main/flubot_blocklist.txt
Muncher @Webgnome25 juni 2021 21:10
Handig! Denk dat de lijst met 2931 ook afdoende is. Daarin zijn de domeinen opgenomen die specifiek voor NL worden gebruikt.
tom.cx @Muncher25 juni 2021 22:36
Het lijkt mij toch beter om alles te hebben voor het geval ze uitwijken.
Cyb @Videopac25 juni 2021 19:24
Of je blokkeert elk .ru .su en .cn domein.
Zoiets:
[code]^.+\.(ru|su|cn)$[/code]
Frost_Azimov @Cyb25 juni 2021 20:07
Tja...misschien bekijk ik het niet goed, maar die lijsten met namen lijken er allemaal ongeveer zo uit te zien:

[voorbeeld]
xalvtebukduwaoo.ru
bxsvtmvyjllywpq.cn
pivgonggplftcsk.su
arlknwimqnhbvrh.ru
[/voorbeeld]

Dus om Cyb's regex wat exacter te maken zodat je minder false positives hebt lijkt me dit te voldoen:

[a-z]{15}\.(ru|su|cn)$

(in pi-hole: group management->domains->regex filter (blacklist)


p.s.
jammer dat ubb hier niet goed werkt

[Reactie gewijzigd door Frost_Azimov op 22 juli 2024 15:32]

Cyb @Frost_Azimov25 juni 2021 20:17
Dat is een goeie, nog beter inderdaad.

Voor de zekerheid zou ik er wel een start boundary bij plaatsen, dus ^[a-z]{15}\.(ru|su|cn)$, voor het geval Pi-Hole ook partial matches ondersteunt, want anders zou het ook meer dan 15 kunnen matchen.
Frost_Azimov @Cyb25 juni 2021 20:32
Mee eens, die is nog beter. Eerlijk gezegd vind ik het best slordig van die hackerts... beetje makkelijk zo.
doe maar wat naampjes van random 15 chars...
reconf 25 juni 2021 19:07
Worden deze lijsten nog geüpdatet? en zijn ze via een centrale manier toe te voegen aan bijvoorbeeld PiHole?
Orangelights23 @reconf25 juni 2021 19:24
Het NCSC zal deze hoogstwaarschijnlijk niet actief updaten. Er zijn wel gesloten fora waar je actieve lijsten kunt halen inclusief downloadbare rules voor meerdere SIEM-s. Nadeel is dat je alleen als bedrijf toegang krijgt tot deze threat intel.
Maurits van Baerle @Orangelights2325 juni 2021 21:50
Het zou mooi zijn als ofwel EC3 ofwel ENISA dit soort lijsten gewoon publiceerde in een automatisch downloadbaar formaat. Ze laten securitysoftware dan één keer per dag die lijst synchroniseren en je kunt veel leed voorkomen.
twiet 25 juni 2021 18:40
uhm, volgens mij is het NCSC in plaats van NSCS
ultimasnake 25 juni 2021 19:29
Nou als alle betrokken TLD-instanties nu even deze lijst pakken om direct alle domeinen offline te trekken… sidn heeft volgens mij die mogelijkheid, maar of ze dit doen…

(Al zie ik zo snel geen nl in de lijst staan, deze wordt wel genoemd)

[Reactie gewijzigd door ultimasnake op 22 juli 2024 15:32]

nero355 26 juni 2021 00:45
Bovendien wordt er gelinkt naar een Android-app die de zogenaamde Flubot-malware bevat. Deze malware zoekt naar contact-, bank- en kredietkaartgegevens om bankfraude mee te plegen. Eens geïnstalleerd kan de Flubot-malware ook berichten lezen en versturen en phishingwebsites laden wanneer er een bankapplicatie wordt opgestart.
Ondertussen blijf ik voor gek verklaard worden als ik zeg dat telefoons en tablets speelgoed zijn waarop je niet hoort te bankieren en dergelijken... :') LOL! _O-
De Belgische telecomwaakhond BIPT en het Centrum voor Cybersecurity België waarschuwden eind april voor dergelijke sms’jes. Volgens deze laatste twee organisaties hadden meer dan 9000 Belgen op de link geklikt en de malware gedownload.
Dat zijn dus 9000 mensen die braaf overal op clicken zonder 3 seconden na te denken... :X

Belooft veel goeds voor de toekomst! _O-
Fox Hound @nero35526 juni 2021 08:59
Dit is dan weer een voordeel van Apple’s App Store beleid. Geen installatie uit andere bronnen, geen problemen.

[Reactie gewijzigd door Fox Hound op 22 juli 2024 15:32]

Muncher @Fox Hound26 juni 2021 10:06
Flubot leidde iPhone gebruikers naar een fake iCloud login pagina. Volgens mij zijn daar geen getallen van gepubliceerd. Dus ja, de walled garden beschermd hier, maar dan moeten mensen niet via de tuindeur het moeras inlopen }:O
nero355 @Muncher26 juni 2021 18:14
Tja, dat laatste blijft blijkbaar heel verleidelijk voor velen... _O-
nero355 @Fox Hound26 juni 2021 18:13
Volgens mij laatst nog gelezen dat het wel degelijk mogelijk is :?
AntiSpam 25 juni 2021 19:24
Ipv root cause aan te pakken blijven organisaties die met belastinggeld worden gefinancieerd arbeid verstrekken.

Het doel van NCSC moet zijn dat door dat ze met structurele oplossingen komen voor hoofdoorzaken ze niet meer nodig zijn.

Domeinen / IPs / waarschuwing verstrekken (vrijwel altijd nadat iedereen het al weet) slaat nergens op.
Webgnome @AntiSpam25 juni 2021 21:26
En welke oplossing stel je dan voor?
AntiSpam @Webgnome25 juni 2021 22:21
Delivery model is SMS spam, als anoniem SMS'en geen optie meer is....
DGTL_Magician @AntiSpam26 juni 2021 10:57
Deze SMS zijn niet anoniem.
PFY 26 juni 2021 00:54
Ik snap niet waarom je als puur NL bedrijf/instelling met dit soort domeinen en zelfs landen zou willen communiceren. Ik heb een zwik servers staan in 020 en het is heel simpel, er komt niks qua oekraine of china binnen. Alles is volledig geblocked via Geoip. Mijn klanten hebben niks met dit soort landen en ik dus ook niet. Dus volledig country blocken die hap. Ze hebben het verknald en mijns inziens is er geen vertrouwen meer. Dus blocked. Af en toe de Geo DB updaten en dat scheelt 90 % van de aanvallen. Misschien wel meer.
t-force @PFY26 juni 2021 09:27
Dat doe ik ook middels een Mikrotik adreslijst script die zet alle IP subnets van bepaalde landen in een blacklist. Die landen hebben mijns inziens niks te zoeken op onze servers.

Maar de meest slimme criminele hackers gebruiken gehuurde servers in veilige landen zoals NL.

[Reactie gewijzigd door t-force op 22 juli 2024 15:32]

thomvh @t-force26 juni 2021 11:01
Echter is Geo IP ook niet altijd betrouwbaar...
t-force @thomvh26 juni 2021 12:09
Ik merk zelf dat de landen subnets nogal eens wijzigen.

Zie voor een actuele (txt) lijsten: http://ipverse.net/
Deze gebruik ikzelf om een actuele subnet database te maken.
En die database gebruik ik om geautomatiseerde scripts voor Mikrotik routers te maken.

En ook een fijne API: https://ipapi.co
Die laatste lijkt wat betere resultaten te geven.
thomvh @t-force26 juni 2021 12:28
Ik bedoelde meer. Ik kan mijn block announcen alsof het uit zeg even voor dit voorbeeld NL komt. Terwijl mijn server gewoon in Rusland staat. Ik heb daarom zelf altijd veel moeite gehad met GeoIP te vertrouwen. Tuurlijk je pakt er wel wat dingen mee aan. Maar echt op land basis filteren is tricky.
t-force @thomvh26 juni 2021 13:13
Bedankt voor je uitleg.
d3burt @thomvh28 juni 2021 12:07
Ach, je Internet wordt zoveel kleiner met GeoIP blocking dat alleen al daardoor het aantal pogingen enorm afneemt. Ik gebruik pam_script om toegang tot SSH te beperken tot NL, DE, FR en BE. Een paar specifieke uitzonderingen (OVH...) en de aanvallen worden opeens heel overzichtelijk.

Er zijn teveel rare Europese samenwerkingen om DE, FR en BE uit je default lijst te halen; Ziggo gebruikte bijvoorbeeld adressen die volgens GeoIP in FR thuishoren en T-Mobile DE.
Vaevictis_ 25 juni 2021 18:42
Typo in het artikel moet NCSC zijn.
Theone098 25 juni 2021 18:51
Het is ook nationaal cyber security centrum (en niet Nederlands centrum voor Cybersecurity) en daarom NCSC.
AuteurJayStout 25 juni 2021 18:53
@twiet @Vaevictis_ @Theone098 Inderdaad! Het is aangepast. Bedankt om het te melden.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq