Duizenden WordPress-sites gebruikt voor verspreiding FluBot-malware

WordPress-sites worden op grote schaal gebruikt om FluBot-malware te verspreiden. Duizenden sites hosten een PHP-script waarmee de malware verspreid kan worden, blijkt uit een analyse van securitybedrijf Netcraft. De sites zelf zijn wel legitiem, maar niet goed beveiligd.

In een blog schrijft Netcraft dat uit zijn analyse blijkt dat meer dan 10.000 websites die draaien op WordPress de FluBot-malware verspreiden. De sites zelf hosten vaak legitieme content en waarschijnlijk zijn de eigenaren niet op de hoogte dat hun website wordt gebruikt om malware te verspreiden.

De sites kunnen worden misbruikt, omdat er veel verschillende plug-ins en thema's zijn, die mogelijk beveiligingslekken bevatten. Daar komt bij dat beheerders hun plug-ins niet tijdig updaten, waardoor ontdekte beveiligingslekken nog steeds kunnen worden misbruikt.

FluBot-malware wordt momenteel veel gebruikt door criminelen voor phishing. Onlangs waarschuwde de politie nog voor fraudepogingen met de malware. De phishinglink wordt vaak verstuurd via een bericht waarin wordt gemeld dat er een pakketje onderweg is. De track-and-trace-link in het bericht leidt naar een pagina waarmee de FluBot-malware op de smartphone wordt geïnstalleerd.

Na installatie hebben criminelen volledige controle over de telefoon en toegang tot contacten, wachtwoorden en zelfs bankinformatie. De malware kan niet worden verwijderd. Alleen door de telefoon terug te zetten naar fabrieksinstellingen kan de malware worden verwijderd. Het is niet duidelijk wie er achter de malware zit.

In België werden in september nog 14 miljoen sms'jes onderschept met daarin een link naar de FluBot-malware. De Belgische telecomwaakhond BIPT spreekt van een 'tsunami aan smishing-berichten'.

Reacties (69)

roonald 30 november 2021 18:40

De track-and-trace-link in het bericht leidt naar een pagina waarmee de FluBot-malware op de smartphone wordt geïnstalleerd (...) Na installatie hebben criminelen volledige controle over de telefoon

Dat klinkt alsof het bezoeken van de pagina automatisch de malware installeert. Het gelinkte artikel beschrijft echter dat op de pagina wordt gevraagd een App te downloaden, installeren en permissies te geven. Wat is het nu? Maakt nogal een verschil in mijn ogen....

liberque @roonald • 30 november 2021 19:06

Ervaring met mijn schoonmoeder: Ze krijgt een SMS'je van DHL dat er een pakje naar haar op weg is. Het arme schaap verwachtte ook daadwerkelijk een pakje en klikt op de link in de SMS. Daar werd gevraagd of ze een app wilde installeren. Ok, dat wilde ze wel want ze wilde de status bekijken. Ze wordt echter niet omgeleid naar de Playstore, maar krijgt direct de APK. Android gaf haar een waarschuwing dat ze de APK niet kan installeren omdat het niet veilig is tenzij ze expliciet aangeeft dat ze dat wel wilt. Dat doet ze dan, want het is blijkbaar een heel belangrijk pakketje. De APK wordt geïnstalleerd en er verschijnt een applicatie in haar lijst. Helaas werkt de applicatie niet. Ze gaat verder met haar werkzaamheden en geeft er verder geen aandacht aan.

Een paar uur later krijg ik een telefoontje. Hoe het komt dat haar mobiel internet niet meer werkt en waarom ze niet meer kan bellen. Het was een feestdag dus ze kreeg haar mobiele aanbieder (Lebara) ook niet te pakken. Ik probeer haar te bellen en haar telefoon gaat gewoon over. Ik vraag of ze iets aan haar APN settings heeft aangepast, maar ze zegt dat ze niks gedaan heeft. Onderwijl wordt ze behoorlijk pissed op Lebara omdat ze niet kan bellen of whatsappen.

Toch maar even langs gegaan en gevraagd hoe en wat. Vertelt ze het verhaal over het SMS'je van DHL. Twee verschillende virusscanners geïnstalleerd, maar die detecteerde niks. Uit voorzorg toen haar telefoon maar volledig gereset en haar de wachtwoorden laten aanpassen. Twee dagen later contact gehad met Lebara en ze was preventief geblokkeerd omdat ze in 1 klop ruim boven haar bundel zat

Het duurde daarop twee weken lang en toen kreeg iedereen uit haar contactenlijst plots ook SMS'jes, maar van volledig andere telefoonnummers. Het lijkt er dus op dat niet direct de mensen uit je contactenlijst worden gebruikt om SMS'jes te sturen, maar dat deze geupload worden naar een ander slachtoffer die jouw contacten dan gebruikt. Net zoals zij die van een vorig slachtoffer kreeg.

TL;DR? Er wordt inderdaad gevraagd om een app te downloaden en expliciet 'installaties van onbekende bronnen' te accepteren.

@Zwijntjesdrecht Nee, dat wist ze niet. Dat was een vraag van mij omdat ze aangaf dat haar Internet niet meer werkte. Vertaal APN dan ook naar: "heb je iets in je instellingen veranderd". Wat betreft het feit dat ze kwaad werd op Lebara snap ik dat ook wel. Als je provider je blokkeert al dan niet automatisch zou het handig zijn als je daarvan op de hoogte wordt gesteld. Nu vermoed ik dat Lebara dat ook wel geprobeerd heeft middels het sturen van een SMS'je maar dat deze door haar intensief verkeer op dat moment er niet door kwam. Getuigt er een beetje van dat het sturen van een SMS'je niet afdoende is in zo'n situatie. Aangezien mijn inkomende gesprek wel doorkwam zou het wellicht beter zijn dat providers een automatisch telefoontje plegen met de klanten ipv een automatisch sms'je.

[Reactie gewijzigd door liberque op 25 juli 2024 09:01]

Exception @liberque • 30 november 2021 22:02

Ik ben een aantal dagen geleden gebeld door een stuk of 20 06-nummers op één dag. Ik wist niet wie dat waren en verwachtte ook geen telefoontje. Door ze op te slaan als contact en ze te openen in Whatsapp kon ik een profielfoto zien. Dit waren allemaal mensen op leeftijd (65+).

Het zou goed kunnen dat haar telefoon dus andere 06-nummers heeft gebeld (hijack) en ze daarom gelijk over haar bundel heen zat.

liberque @Exception • 30 november 2021 22:16

Het zou goed kunnen dat haar telefoon dus andere 06-nummers heeft gebeld (hijack) en ze daarom gelijk over haar bundel heen zat.

Zoals ik begrijp doet Flubot het volgende: het verstuurt al je contactgegevens naar een of andere server en ontvangt daarnaast een lijst van diezelfde server vol met telefoonnummers. Die lijst met telefoonnummers die je ontvangt zijn verzamelde contactgegevens die buitgemaakt zijn bij andere geïnfecteerden. Je telefoon gaat daarop als een malle al die telefoonnummers SMS'en om weer nieuwe slachtoffers te zoeken. In de tussentijd wordt je appgebruik gemonitored en hoogstwaarschijnlijk 'keyloggers' gebruikt om achter creditcard info ed. te komen en screenshots gemaakt om achter bankgegevens te komen (het laatste wordt gelukkig voorkomen hier in NL omdat de bankapps niet toestaan dat er screenshots worden gemaakt). Door die SMS'jes zit je inderdaad zo door je bundel heen.

Wat wel heel erg belangrijk is bij Flubot is dat het NOOIT de geïnfecteerde telefoon zelf is die berichtjes naar zijn eigen contactenlijst stuurt. Nee dat laat Flubot door andere nummers doen zodat jij de bron niet kan herleiden. Grote kans dat iemand in je kennissenkring, familie, werk whatever geïnfecteerd is geraakt en/of geweest (het duurde in mijn geval 2 weken voordat ik gespammed werd) en jouw telefoonnummer heeft gedeeld met de Flubot server waardoor jij nu van onbekende nummers al die SMS'jes krijg.

Exception @liberque • 30 november 2021 22:54

Ik kreeg geen SMS'jes, maar werd echt gebeld door al die 06-nummers. Heb dus het idee dat er nog meer achter zit. Het leek echt geautomatiseerd, want er zaten tussenpozen in van enkele minuten.

[Reactie gewijzigd door Exception op 25 juli 2024 09:01]

Zwijntjesdrecht @liberque • 30 november 2021 19:11

En het meest lullige van het verhaal is, is dat men kwaad wordt op de provider; in dit geval Lebara (maar had iedere provider kunnen zijn). De kortzichtigheid van mensen...

Uit jouw verhaal kan ik opmaken dat ze wel wist wat een APN was. Met dergelijke kennis zou men al helemaal moeten weten dat je nevernooit onbekende APK's moet installeren (en met bekende gewoonweg voorzichtig zijn). Maar goed. Moest wel een heeeeeeeel belangrijk pakje zijn, als je dergelijke ellende op je hals haalt. Waarschijnlijk zat er een nieuwe telefoon in het pakketje. ;-)

Oon

@Zwijntjesdrecht • 30 november 2021 20:39

De kortzichtigheid van mensen...

Meer onwetendheid. Vergeet niet dat 9/10 mensen echt niet het verschil ziet tussen een phishing SMSje en een legitiem SMSje, zeker niet omdat echte leveranciers ook gewoon SMSen vanaf een raar nummer of vanaf een naam, en het spoofen van een nummer niet zo makkelijk te detecteren als het spoofen van bijv. een e-mailadres.
Dus ja, als je je van geen kwaad bewust bent en ineens een storing in je telefoondienst ervaart, dan word je kwaad op je provider. Lijkt me niet dat zo iemand weet wat een APN is, maar wel weet dat ze niet in de instellingen hebben gezeten.

kodak

Networking en security
Malware

@Oon • 30 november 2021 21:01

Niet weten terwijl je zelf ook verantwoordelijk bent voor je eigen keuzes klinkt toch meer als kortzichtigheid. Tenzij de persoon duidelijk kan maken toch echt wel voldoende gedaan te hebben te snappen wat ze doen. Ik lees het moeite doen niet, laat staan voldoende. Wat ik wel lees zijn aannames die niet zomaar redelijk zijn en verwijten dat het dus maar aan een ander ligt.

DeCo @kodak • 30 november 2021 22:04

Mensen hebben echt geen idee. Alles wat digitaal is, is vreemd en abstract voor ze. Wat voor menig Tweaker logisch en helder is, is voor veel mensen nog steeds, en waarschijnlijk voorlopig nog totaal onbekend terrein.
Accepteer dat nou eens....

divvid @DeCo • 1 december 2021 00:08

en zelfs dan is het zelfs voor de doorgewinterde tweaker niet altijd duidelijk

liberque @kodak • 30 november 2021 22:02

De vrouw waar ik over vertelde gebruikt haar telefoon over het algemeen enkel om een appje te sturen, facebook af te struinen en en een spelletje te spelen. Het is hier dan ook voornamelijk gebeurd omdat ze op dat moment daadwerkelijk een pakketje verwachtte. Je zou dit kunnen steken op 'toeval', maar dit is juist waar malware zoals Flubot gretig misbruik van maakt. Als je 14 miljoen sms'jes laat rondgaan is de kans groot dat er ontvangers tussen zitten die op dat moment net iets verwachten. Je kunt dus niet meer spreken over toeval.

Natuurlijk zijn mensen verantwoordelijk voor hun eigen keuzes en geloof me ze is voldoende geshamed door haar man omdat ze de waarschuwingen van Android negeerde. Toch vind ik het te ver gaan om te stellen dat het kortzichtigheid betreft. Niet iedereen heeft de zelfde aandachtspanne in zulke zaken. Veelal zullen ze denken: "ja ik wil weten wanneer dat pakje binnen komt en nu zit dat vervelende Android te miepen met waarschuwingen". Daarnaast stond "software van derden installeren" gewoon uitgeschakeld als default in Android. In plaats dat Android dit honoreert (en dus de installatie automatisch blokkeert) gaat het de gebruiker het toch nog vragen. Vroeger vertelde Android dan dat je naar de instellingen moest gaan en daar de instelling eerst moest veranderen wat voor haar al een stap te ver zou zijn geweest. Nee, ook al staat het per default uit als je het nu doet krijg je een waarschuwing en is het met 1 klik te bevestigen. Flubot maakt ook daar dus gretig gebruik van.

Dat ze het verwijt maakte richting Lebara is geen kortzichtigheid, maar zoals Oon zegt gewoon onwetendheid. Heel veel jaartjes geleden toen ik met een eigen MTA bezig was kon ik plots ook niet meer internetten. Dan bel je ook naar je ISP waar je dan krijg te horen dat je verbinding is geblokkeerd omdat je open relay aan het spelen was. Ik snap dat ze me dan blokkeren, maar wat ik niet snap is dat ze me dat niet laten weten. Ik probeer immers altijd eerst mijn eigen setup helemaal na te trekken voordat ik naar een klantenservice bel. Je bent dan uren aan het zoeken naar een probleem voor niks. Ja, ik was toen ook onwetend en hoewel ik de ISP en hun blokkering begreep was ik toch echt niet blij met ze.

Communicatie is hierin key en zoals ik al eerder aangaf is de methode die telco's hanteren (een SMS'je sturen) in dit soort situaties niet de juiste manier. Immers als je zelf een SMS-bom aan het versturen ben (door Flubot bv) dan komt dat SMSje van je telco pas binnen op het moment dat je SMS-bom klaar is. Aangezien je dan in de tussentijd ook nog eens geblokkeerd ben is de kans heel groot dat die SMS-bom er veel langer over doet. Een gebruiker denkt dus heel simpel dat zijn mobiele verbinding eruit ligt en als je dan ook nog eens de klantenservice niet kan bellen vanwege een feestdag dan snap ik haar reactie heel goed. Wat het geheel nog erger maakt is dat men dan Wifi gaat gebruiken om toch te kunnen whatsappen. Flubot kan dan geen sms'jes meer versturen, maar het kan dan wel lekker alles via het internet doorcommuniceren met alle gevolgen van dien. Dus ja goed van Lebara dat ze haar uitgaande verbinding preventief blokkeerde, maar ze kunnen er gelet op dit soort malware beter aan doen om klanten een computerbelletje te sturen met een gesproken tekst "Uw verbinding is preventief geblokkeerd vanwege excessief verbruik. Indien u zelf geen excessief gebruik heeft veroorzaakt zet dan uw mobiele telefoon uit en neem via een ander toestel contact op met de klantenservice. Heeft u behoefte aan meer bel- of datavolume ga dan naar www.provider.nl". Telefoontjes komen immers wel gewoon binnen.

Het grote probleem met producten die door de massa gebruikt worden is dat het fool-proof moet zijn. Jij als it'er moet er mee kunnen werken, maar je oma van 88 jaar, haar kleindochter van 7 en de grootvader die elke keer als zijn telefoon gaat de voordeur open doet omdat hij denkt dat het de deurbel is ook. Je kan dan niet meer spreken van kortzichtigheid bij de gebruiker, maar wel van kortzichtigheid bij de ontwikkelaar. Als het je niet lukt om al je doelgroepen in 1 soort OS tevreden te houden dan zou je er wellicht voor kunnen kiezen om je OS te adapteren aan die doelgroepen. Tijdens installatie bijvoorbeeld vragen wat de kennis is van de gebruiker en daar de opties automatisch op aanpassen in plaats van het generiek te doen.

Siebelouis @kodak • 1 december 2021 06:02

Gast…

We hebben het over zijn (schoon)moeder, er vanuitgaande dat hij/ zij geen <10 is, een bejaarde dus.

Over kortzichtigheid gesproken

quintox @kodak • 1 december 2021 13:49

Makkelijk praten vanuit de "karmakeizer Networking en security"

Tweakers lijken regelmatig te vergeten dat ze een niche markt vertegenwoordigen en dat een groot gedeelte van de wereldbevolking er helemaal niet in thuis is en dat ze min of meer gedwongen worden te digitaliseren, maar hier niet per se kundig in zijn.

Dat is waarom phishing zo effectief is. Je hebt maar 1% van de bevolking nodig die het gevaar gewoon écht niet ziet of herkend. Dan heb je het al over 70.000.000 potentiële slachtoffers wereldwijd.

De software heeft de gebruiker in dit geval onvoldoende beschermd door de drempels niet hoog genoeg te maken óf een fatsoenlijke anti-malware te hanteren die APK's scanned (ongeacht bron). De enige partij die de gebruiker in dit verhaal wél heeft beschermd is Lebara door het account te blokkeren.

kodak

Networking en security
Malware

@quintox • 1 december 2021 15:17

Het uitgangspunt van vrijheid willen is dat je zelf ook verantwoordelijkheid neemt. Als uit niets blijkt dat iemand die verantwoordelijkheid niet neemt klinkt het niet redelijk om eerst met excuus aan te komen dat iemand het mogelijk niet kan. Die criminelen maakt al die excuses niet uit, je hebt er vooral jezelf en anderen mee.

quintox @kodak • 1 december 2021 17:13

En waar stel ik dat, in dit geval zijn schoonmoeder, voor deze vrijheid gekozen heeft? Er zijn slechts 2 smaken OS'en waar je uit kunt kiezen, dus wie zegt dat deze vrijheid wenselijk is?

Bij mijn eigen ouders heb ik o.a. op de PC bepaalde vrijheden weggenomen d.m.v. user accounts, ze missen dit ook niet en kunnen hierdoor (door onwetendheid) niet per ongeluk iets installeren. Door gebruikers rechten (vrijheid) te ontnemen die ze niet nodig hebben, bescherm je ze tegen zichzelf. Een popup die je met 1 druk kunt omzeilen is geen goed doordachte beveiliging.

Ik denk dat het geen slecht idee is als er user accounts in Android komen, zoals dit ook op Windows werkt. Timmer het OS dicht voor digibeten en bepaal de lijntjes waar binnen gekleurd mag worden. Parental controls in de play store zijn een begin, maar dit hoort voor het hele OS te werken en is niet enkel relevant voor kinderen. Bij iOS is het risico al aanzienlijk kleiner omdat ze een gesloten eco systeem hanteren, maarja.. daar hangt ook een prijskaartje aan vast.

[Reactie gewijzigd door quintox op 23 juli 2024 01:59]

kodak

Networking en security
Malware

@quintox • 1 december 2021 18:36

Ik ga niet in dit soort redenaties mee die tot doel hebben om te doen alsof het aan anderen ligt. Het is daarbij ook weer een antwoord waarbij niet genoemd is wat men echt zelf vooraf heeft gedaan om een probleem te voorkomen. Het is helaas wat de criminelen van botnets als FluBot of andere malware en phishing wel prima lijken te vinden: hoe minder een mogelijke slachtoffer zelf doet om problemen te voorkomen, hoe groter de kans dat het ze bij die personen lukt ze slachtoffer te maken.

quintox @kodak • 1 december 2021 20:12

Dan vind ik dat behoorlijk kortzichtig.. het slachtoffer is misschien naïef, maar jij bent arrogant om te denken dat het voor iedereen zo vanzelfsprekend is. Dit hebben ze niet op school geleerd hé, de 1e iPhone is nog niet eens 20 jaar oud.

kodak

Networking en security
Malware

@quintox • 1 december 2021 22:16

Wat is er volgens jou arrogant aan om te stellen dat je voor vrijheid op zijn minst moet proberen eigen verantwoordelijkheid te kunnen nemen voor je van anderen iets gaat verwachten of zelfs de schuld geeft? Ik stel daarmee toch niet dat iedereen dat vervolgens zal lukken?

quintox @kodak • 2 december 2021 11:23

Omdat de vrijheid waar jij over spreekt geen keuze hoeft te zijn. De consument bepaald in deze niet hoeveel vrijheid hij/zij wel of niet krijgt.

kodak

Networking en security
Malware

@quintox • 2 december 2021 14:03

Dus omdat jij (weer) zonder ook maar enige moeite te doen liever een mening hebt om anderen de schuld te geven denk je dat het redelijk is om zelf maar niet de minste verantwoordelijkheid te nemen problemen voor jezelf of andere te voorkomen? Dat is zwaar onredelijk. Daarbij kan je niet doen alsof er dus zomaar pok geen vrijheid is om zelf ergens in te verdiepen als je er toch van afhankelijk bent.

Teigetje! @kodak • 1 december 2021 08:36

Dat iemand een telefoon kan bedienen of een pc of enig ander apparaat betekent niet per se dat die persoon ook precies weet waar ze mee bezig zijn.....
Het is een oude(re) dame en niet een tech nerd die zich met dit soort zaken bezighoudt. Ik zit bij een web development club en daar zijn heel wat sites met API's extern verbonden. Als1 van die externe bronnen niet thuis geeft ziet de klant dat als eerste op de site en bellen ze ons "jullie site doet het niet". Dat is vergelijkbaar met dit geval.

Het is een kwestie van perceptie, dat ze boos wordt op de provider is geheel logisch maar blijkt achteraf niet terecht.

GamingZeUs @Zwijntjesdrecht • 30 november 2021 21:48

lebara had haar ook afgesloten. Met nutsvoorzieningen krijg je dan een periode alsnog voorzieningen, gas of electra.

Er is geen 'noodreserve' die alleen voor (nood) belletjes is oid. De dienst is dus in de praktijk soms onbetrouwbaar.

roonald @liberque • 30 november 2021 22:08

Bedankt voor de uitgebreide beschrijving liberque. Een stuk informatiever dan het artikel zelf.

Klonk best eng, alleen een link klikken is voldoende voor deze ellende maar "gelukkig" is er dus echt meer nodig. Klassiek phishing patroon: Relevantie en urgentie faken om iemand te verleiden om iets te doen waarvan hij weet (of inmiddels zou moeten weten) dat het onverstandig is. Vervelend voor je schoonmoeder maar ik ben gerustgesteld. Ik was bij het sideload-verzoek afgehaakt...

Cerberus_tm

@liberque • 1 december 2021 01:27

Wat ik niet helemaal begrijp is hoe ze die applicatie heeft kunnen installeren: normaliter wordt dat geblokkeerd en moet ze zelf in de instellingen gaan graven om die blokkade uit te zetten ("allow installing apps from unknown sources" o.i.d.). Zelfs in ouder versies van Android was dit geloof ik al zo?

Zwijntjesdrecht @liberque • 1 december 2021 11:27

Inzake "...dat providers een automatisch telefoontje plegen met de klanten ipv een automatisch sms'je."

Uiteraard. Maar voor een dergelijke dienstverlening moet men de prijzen weer opvoeren en vervolgens wordt men weer boos dat de prijzen omhoog gaan voor "onbegrijpelijke" redenen. Hoe dan ook, de provider is 9 van de 10 keer de dupe van het handelen van een klant in dit soort gevallen. Gelukkig komt het nog niet heel vaak voor, maar wel steeds vaker. Om nog maar te zwijgen over de nabije toekomst.

Sannr2 30 november 2021 17:58

In welke mate zou deze app daadwerkelijk overlays bij de Nederlandse bank apps kunnen zetten? Dat is toch helemaal niet mogelijk in de meeste bank apps?

cagy79 @Sannr2 • 30 november 2021 23:54

Helaas wel.

De app vraagt SYSTEM_ALERT_WINDOW rechten waardoor overlays altijd mogelijk zijn.
Ook worden "Accessibility services" misbruikt om kliks uit te voeren in andere apps.
Het is al gekend welke apps door flubot getarget worden. Daar staan ook Belgische en Nederlandse banken bij.

Bron: https://blog.nviso.eu/202...s-belgian-financial-apps/

Bekijk zeker deze talk op Youtube vanop Brucon vorige maand van de auteur van de blog post (Jeroen Beckers https://twitter.com/Dauntless)
Daar wordt alles nog eens uitvoerig uitgelegd.
https://www.youtube.com/watch?v=J47pp09sBxA

TomR 30 november 2021 18:06

Zijn er manieren om erachter te komen of jouw site per ongeluk zo'n script host op je wp?

BlupWoofer @TomR • 30 november 2021 18:26

Wordfence plugin zal je dit vast kunnen vertellen.

GoBieN-Be @BlupWoofer • 30 november 2021 23:28

+1 voor Wordfence, de gratis service biedt al veel bescherming.

[Reactie gewijzigd door GoBieN-Be op 25 juli 2024 09:01]

Frogmen

@GoBieN-Be • 1 december 2021 10:05

Helemaal mee eens en dat samen met auto update en een simpele site heeft verder geen onderhoud meer nodig en blijft actueel. De eigenaar kan de rest vervolgens zelf onderhouden (teksten en plaatjes).

Wachten... @TomR • 30 november 2021 18:11

Daar ben ik dus ook benieuwd naar!

zzz16 @TomR • 30 november 2021 18:19

Ja zeker, met een plugin ;-)
Mallware scanner https://nl.wordpress.org/...tera-web-malware-scanner/
Ik heb geen idee of dit een goed product is, en of deze mallware vrij is ;-)

Anoniem: 57963 @zzz16 • 1 december 2021 09:03

Heerlijk. Nog een plugin om te controleren of je plugins malware bevatten. Ik zou het in de eerste verstoppen.

kodak

Networking en security
Malware

@TomR • 30 november 2021 19:13

Een manier is om alleen bestanden te hosten waarvan je weet dat ze niet door onbevoegden gemaakt of aangepast zijn. Daarmee controleer je ook op alle aanpassingen die een scanner niet kan detecteren. Als je dat niet kunt controleren heb je waarschijnlijk al te weinig controle.

Het kunnen scannen van bestanden heeft alleen zin zolang criminelen die scanner niet te slim af zijn en de maker al op alle nodige kenmerken weet te scannen.

gooos @TomR • 1 december 2021 00:28

Als je webhoster gebruik maakt van Patchman vermoed ik dat het binnenkort wel automatisch gedicht wordt. Het zou echter wel fijn zijn als het ergens te achterhalen is want dat helpt het sneller dichten van plekken zonder zoiets als Patchman.

hcd320 30 november 2021 17:47

"Na installatie hebben criminelen volledige controle over de telefoon"
De telefoon ... misschien handig om erbij te vermeld, de Android-telefoon.

HKLM_ @hcd320 • 30 november 2021 17:52

Deze malware is niet Android Only als ik wat sites mag geloven.

Deze NCSC Github houd een lijst bij met domeinen van Flubot. Voor een security beheerder handig om te blokkeren in je Firewall.

https://github.com/NCSC-NL/flubot

[Reactie gewijzigd door HKLM_ op 25 juli 2024 09:01]

kodak

Networking en security
Malware

@HKLM_ • 30 november 2021 22:15

Op welke sites lees je dat de malware meer besmet dan android? Op de sites waar dit nieuws over gaat staat dat de besmetting om android gaat. Andere problemen die flubot veroozaakt beginnen bijvoorbeeld wel met een sms, maar op een iphone krijg je dan kennelijk een phishingwebsite te zien, in plaats van malware.

De lijst waar je het over hebt lijkt geen overzicht van besmette websites te zijn om malware te verspreiden, maar om androids te besturen als die besmet zijn. Daar gebruikt flubot kennelijk eigen domeinnamen voor die ze zelf genereren.

Trousercough @HKLM_ • 1 december 2021 08:33

Dit gaat om de command and control servers van FluBot. Het is een beste lijst met domeinen, maar toe nu toe volgen de domeinnamen een vaste opbouw die je kan blokkeren door een regex aan je dns-filter (zoals bijv PiHole) toe te voegen:

^[a-z]{15}\.(ru|su|cn)$

Mars Warrior @hcd320 • 30 november 2021 17:59

Behoorlijk cruciale informatie ja.

De malware is voor Android toestellen, maar bij iOS werkt de phishing nog wel: daar wordt je naar een site geleid in de hoop dat je je apple id gegevens invult

Dus het blijft opletten met die SMSjes

Marc-Jan @Mars Warrior • 30 november 2021 18:07

Dan te bedenken dat zelfs kpn smsjes stuurt terwijl ze aan de telefoon tegen je zeggen: klik op de link in de SMS...

hcQd @Marc-Jan • 30 november 2021 18:13

Maar dan komt dat smsje toch niet onverwacht binnen? Onlangs ook een keer gehad met Liander, die sturen dan een smsje zodat de klantenservice mee kan kijken.

Marc-Jan @hcQd • 1 december 2021 09:19

Dat niet, maar lijkt me raar om mensen aan te wennen om uberhaupt maar op linkjes in smsjes of mailtjes te klikken.
Ga naar onze site hier of daar klinkt dan een stuk degelijker

musiman

@Marc-Jan • 2 december 2021 09:46

Dat is ook mijn advies aan iedereen. Krijg je een bericht (hoe en met welke app dan ook) dat je niet verwacht, klik dan NOOIT op een link. Je kunt de afzender bellen om te vragen of het klopt. Kun je niet naar die persoon bellen, dan kan dat ook verdacht zijn.

ddkiller0900 @hcQd • 30 november 2021 18:22

Heeft Liander jou gecontacteerd of jij hen? Zit nogal een verschil in. Zo is het perfect mogelijk om te bellen via een telefoonnummer dat van hen afkomstig lijkt te zijn waardoor je niet direct argwaan krijgt. Onlangs nog een reportage over gezien op de Belgische televisie.

hcQd @ddkiller0900 • 30 november 2021 18:27

Ik had gebeld, als Liander mij zou bellen zou dat wel vreemd zijn aangezien zij mijn nummer niet hebben.

MrMarcie @hcd320 • 30 november 2021 17:53

Op andere telefoons heb je ook genoeg ellende

Sn0wblind 30 november 2021 17:54

Het zou leuk zijn als Tweakers vermeld wat de entrypoint was voor de verspreiding van deze malware. Welke plugins waren lek etc?

Auteur

Robert Zomers @Sn0wblind • 30 november 2021 18:05

Het probleem is dat er heel veel plugins zijn waarmee toegang kan worden gekregen tot een website, zeker als deze niet zijn bijgewerkt door de webbeheerder. Een complete lijst is er dus niet. In de blog waar naar verwezen wordt staan wel een paar voorbeelden, maar het is dus een groter probleem dan een paar plugins die lek zijn.

the_stickie @Robert Zomers • 30 november 2021 18:16

Klopt helemaal. Bovendien blijkt dat (zeker self-hosted) Wordpress installaties heel vaak niet volledig up to date zijn. Sites zijn een combinatie van plugins en custom content en jammer genoeg ben ik heel wat installaties tegengekomen waarbij men niet upd/grade omdat het stuk ging en niemand het zag zitten de oude site te hermaken met andere plugins.
En dan rekenen we nog niet de sites die gebouwd worden, maar niet _beheerd_. Jammer genoeg is dat laatste iets wat niet zo vanzelfsprekend is.

Zwijntjesdrecht @the_stickie • 30 november 2021 19:16

heel vaak heel heel heel vaak...

Ik zie hier af en toe klanten voorbij komen met Wordpress 4.x en zelfs (zonder gekheid) Wordpress 3.x. Vaak knutselt men zelf een website via Wordpress in elkaar, download een stuk of 8 plugins (of een veelvoud bij de "bekende" thema's) en vervolgens wordt er nooit meer wat aan gedaan... Sorry hoor, maar echt dombo's. Zeker vandaag de dag.

En dan heb je ook nog personen/bedrijven die een website laten maken door een webdesigner (waar natuurlijk niks mis mee is, als deze zijn/haar werk goed doet) en vervolgens willen ze webdesigner niet meer aanhouden, want iemand binnen de bedrijf kan het ook onderhouden. Vervolgens een paar maanden later? Je raad het al... Drama.

af_bert @Zwijntjesdrecht • 30 november 2021 23:20

Ik vraag me af hoe het mogelijk is dat iemand nog zo'n oude WP-versie heeft?
Zelf ben ik absoluut geen held op IT-gebeuren, maar heb toch met veel vallen en opstaan mijn eigen website via WP in mekaar geknutseld met enkele plug-ins. WP wordt automatisch geupdated, alsook de plug-ins, waar ik telkens na de bijwerking een automatisch mailtje ontvang dat WP of plug-in xxxxxx bijgewerkt werd. Zo heb ik steeds de laatste stabiele versie en beveiligingen, waar ik zelf niets meer voor hoef te doen.

Cerberus_tm

@af_bert • 1 december 2021 01:37

Heb je nooit gehad dat een plugin een bepaalde functie eruit sloopte na een update? Of dat de plugin überhaupt niet meer werkte?

af_bert @Cerberus_tm • 1 december 2021 09:45

Neen, heb ik nog niet meegemaakt. Ik heb wel vanaf het begin goed afgewogen welke plugins ik wel of niet zou installeren.

Cerberus_tm

@af_bert • 1 december 2021 17:06

OK maar dat is dus een reden om niet automatisch up te daten.

Wachten... 30 november 2021 18:10

Weet iemand of je kunt zien of jouw eigen website hier bij hoort?

egelalexander @Wachten... • 30 november 2021 18:19

Dit zou ik ook graag willen weten. Iets van een check die je kunt doen.

aikebah @egelalexander • 30 november 2021 19:35

Als je geen mogelijkheid hebt om te achterhalen of er files op je wordpress site staan die je er niet zelf hebt neergezet moet je er van uit gaan dat deze of andere malware je site geinfecteerd heeft.
Als je die mogelijkheid wel hebt dan heb je als het goed is ook de mogelijkheid om te checken dat geen van die bestanden op de server veranderd is ten opzichte van wat jij er bewust geplaatst hebt.
(iets met backups en hash comparisons)

SinergyX 30 november 2021 18:06

Weet alleen niet wat erger is, feit dat er websites zijn die het verspreiden, of het punt dat er malware is voor Android (blijkbaar) wat simpelweg niet te verwijderen is.

kodak

Networking en security
Malware

@SinergyX • 30 november 2021 19:37

Het is te verwijderen, door een reset. Dat is het risico als je een app te veel rechten geeft, wat de gebruiker kennelijk moet doen: controle uit handen geven.
Dat websites maleware verspreiden komt omdat de eigenaren daarvan te weinig doen: zorgen dat ze controle hebben.

Het weggeven van controle over je eigen spullen vergeleken met hoe dan ook al te weinig controle hebben over wat je vooral andere aan doet, maakt de keuze misschien wat makkelijker.

toxicunderGroov 30 november 2021 18:15

Welk script/plugin? Ik mis het contract en vind het niet erg om tegen bots te spelen

Muncher 30 november 2021 19:40

Er word nu gesproken alsof alleen Android gebruikers hier last van hebben. Zeker, de impact voor Android gebruikers is groot, maar ook iPhone gebruikers kunnen doelwit worden van misbruik door deze malware. Wanneer een iPhone gebruiker op de link klikt die per sms verzonden word, wordt deze omgeleid naar of een nep iCloud login scherm of een nep O365 login scherm (schijnt wat willekeurig te zijn). Boodschap die daarbij getoond wordt is dat de gebruiker moet inloggen om de gegevens in te zien. Ik vermoed dat niet heel veel mensen in de O365 pagina trappen, maar die nep iCloud pagina is toch een stuk vernuftiger omdat dat toch bekender klinkt voor de gemiddelde iPhone gebruiker.

Edit: dit was het geval tijdens de vorige golf van Flubot infecties in de zomer. Ik heb toen een aantal van die links door een scanner gehaald kwam tot bovenstaande conclusie. Of dit nog steeds valide is, weet ik niet zeker. Desondanks leek het mij toch handig om dit even te delen.

[Reactie gewijzigd door Muncher op 25 juli 2024 09:01]

GeeBee 1 december 2021 05:44

Geen verwijdering mogelijk dus (behalve factory reset), maar is er een manier om te kijken of een telefoon besmet is?

cagy79 @GeeBee • 1 december 2021 09:07

Je kan in Android Safe mode opstarten (>= Android 11) en de app verwijderen. Anders is een factory reset nodig.

Op dit item kan niet meer gereageerd worden.

Duizenden WordPress-sites gebruikt voor verspreiding FluBot-malware

Lees meer

Reacties (69)

Sorteer op:

Weergave: