Doctor Web: cryptomalware treft meer dan 28.000 mensen via illegale software

Volgens onderzoekers van Doctor Web zijn minstens 28.000 gebruikers getroffen door malware met functionaliteit om cryptomunten te minen of stelen. De schadelijke software is naar verluidt verspreid door middel van illegale versies van populaire programma's.

Doctor Web schrijft in een blogpost dat het op basis van telemetriegegevens van klanten verdachte activiteit heeft ontdekt van een programma dat zich vermomt als StartMenuExperienceHost.exe, een component van Windows. Dit programma communiceert met een netwerk op afstand om vervolgens een commandprompt te openen.

De malafide software zou afkomstig zijn van frauduleuze GitHub- en YouTube-pagina's met links die naar de malware verwijzen. Na deze links aan te klikken downloadt het systeem een zelfuitpakkend archief dat met een wachtwoord is beschermd. Dat voorkomt dat antivirussoftware het bestand automatisch kan scannen.

Het grootste deel van de getroffen gebruikers zijn Russen, al zijn er ook 'aanzienlijk veel' besmette systemen vastgesteld in Wit-Rusland, Oezbekistan, Kazachstan, Oekraïne, Kirgizië en Turkije. Naast illegale kopieën van programma's zoals kantoorsoftware zou de malware ook verspreid zijn via gamecheats en trading bots. Doctor Web raadt gebruikers aan om een capabel antivirus te installeren en software van officiële bronnen te downloaden of opensource alternatieven te benutten.

Reacties (28)

Clubbtraxx

11 oktober 2024 20:23

Hmm een zelfuitpakkend archief ja? Wat voor archief want ik heb nog nooit een zelfuitpakkend archief gezien, zeker niet als het ook nog password protected is. Wie of wat start de uitpak actie?

Het bronartikel is duidelijker... de hackers doen het zelf via remote cmd.

[Reactie gewijzigd door Clubbtraxx op 11 oktober 2024 20:28]

xenn99 @Clubbtraxx • 11 oktober 2024 20:37

Als je een rar maakt of een zip kunnen je kiezen om het eind resultaat zelf uitpakkend te maken, de ontvanger hoeft dan geen uitpak programma te hebben.
Wat je krijgt is dan gewoon een executable die je kunt aanklikken en die laat dan normaal gesproken een interface zien waarmee je het bestand kunt uitpakken.

(Ook veel software installers werken via dit principe, als je een programma download en het is 1 executable die de setup begint, dan heb je te maken met een zelf uitpakkend archief.)

Er wordt al jaren misbruik gemaakt van de wachtwoordbeveiliging van dit soort zelf uitpakkende archieven om virussen te verstoppen.
Omdat het wachtwoord nodig is om de inhoud te ontsleutelen kan een virus scanner er niks mee.

[Reactie gewijzigd door xenn99 op 11 oktober 2024 20:38]

McBacon @Clubbtraxx • 11 oktober 2024 20:36

Nooit een SFX gezien nee? Is gewoon een executable met het archief er direct in verwerkt, waardoor je niet nog eens los WinRAR of zoiets hoeft te downloaden. De executable pakt alles voor je uit. Dus je downloadt bijvoorbeeld MS Office maar dat is dus een password-protected SFX met malware. Je vult nota bene zelf het wachtwoord in en daarna pakt dat ding zichzelf uit. Daarna hebben ze pas toegang tot een remote command prompt.

Clubbtraxx

@McBacon • 11 oktober 2024 20:47

Ken ik wel, maar het tweakers artikel suggereert dat je iets download en het zich dan vanzelf uitpakt.
Dat de archive met de hand moet worden uitgepakt door het juiste password in te geven (wat dus van de hackers site af te lezen is door het 'slachtoffer') maakt het toch iets minder 'zelfuitpakkend' Dat was mijn punt maar het is me inmiddels duidelijk via het bronartikel.

mjl @Clubbtraxx • 11 oktober 2024 21:07

Het is een executable, men denkt dan bijv Office te installeren, een wachtwoord staat in de readme.txt die er bij zit met de instructies: start als admin, vul wachtwoord in en je krijgt gratis office (of enig andere software die je denkt te hebben gedownload.

Ondertussen start dan de installatie van je malware met admin rechten waarmee de virus scanner wordt uitgeschakeld om detectie te voorkomen.

Of zo iets 😈

En laten we eerlijk zijn, de gemiddelde gebruiker logt gewoon in als lokale admin, dus een bestandje starten geeft het process meteen God mode over je systeem.

[Reactie gewijzigd door mjl op 11 oktober 2024 21:09]

blorf @Clubbtraxx • 11 oktober 2024 20:38

Wat mij bij deze berichten altijd opvalt is dat een lokale muisklik als soort van autoriteit wordt beschouwd, alsof een proces ineens meer rechten heeft omdat de gebruiker erop klikte. Dat is gewoon een zware security-bias. Ik kan in non-Windows alles naar elk proces pushen als zijnde muis- of toetsenbordinvoer, zonder die aan te raken.

[Reactie gewijzigd door blorf op 12 oktober 2024 00:42]

GertMenkel

Beveiliging en antivirus

@Clubbtraxx • 12 oktober 2024 12:55

De term komt volgens mij uit Winzip of Winrar van twintig jaar terug (of meer). Het is een exe met archiefdata op het einde die de exe zelf uitpakt. Het was een oplossing voor computers die in hun OS geen software hadden voor zip/7z-bestanden, maar ook voor bijvoorbeeld de bizarre traagheid die de Windows archiefsoftware had.

Niet bepaald een nieuwe term ofzo, de Engelse Wikipedia-pagina gaat terug tot 2006 en de Nederlandse tot 2011 en lang daarvoor zat het al in compressiesoftware.

[Reactie gewijzigd door GertMenkel op 12 oktober 2024 12:57]

RockerbabyWil @Clubbtraxx • 14 oktober 2024 18:12

Bestudeer bijvoorbeeld "0 day exploits"

Memori 11 oktober 2024 20:17

Voor de bezorgde computergebruikers, dit is de volledige juiste (officiele) pad naar StartMenuExperienceHost.exe:

C:\Windows\SystemApps\Microsoft.Windows.StartMenuExperienceHost_cw5n1h2txyewy\StartMenuExperienceHost.exe

Controleer in je taakbeheer ook de eigenschappen van dit process, dat de certificaat van Microsoft is.

Verwijderd @Memori • 11 oktober 2024 20:58

En als je meer gelijknamige bestanden hebt, op andere locaties?

wildhagen

Malware
Beveiliging en antivirus

@Verwijderd • 11 oktober 2024 21:10

Staan die meerdere instances toevallig in C:\Windows\WinSxS en zijn subfolders?

Zo ja, dan is dat normaal. Dat is de Windows Side-by-side assembly. Ga daar vooral niet met de hand in zitten rommelen, blijf van die directory af. Dit kan je een hoop ellende opleveren namelijk. Tot aan een (deels) onbruikbaar systeem aan toe.

Als je die directory wil legen, of er bestanden uit verwijderen, doe dat dan via de Cleanup tooling in Windows, en nooit handmatig. Microsoft beschrijft hoe je die kan cleanen op https://learn.microsoft.c...xs-folder?view=windows-11

[Reactie gewijzigd door wildhagen op 11 oktober 2024 21:10]

kimborntobewild @Memori • 13 oktober 2024 09:09

Dat Microsoft op een gegeven moment besloten heeft zulke extreem onnozele paden als cw5n1h2txye te gebruiken, is een gotspe.

phizzie @kimborntobewild • 13 oktober 2024 11:04

Als dit klopt, dan lijkt het me juist een feature. Waarschijnlijk pas je zoiets toe zodat je cruciale executables niet meer in een voorspelbaar pad zet. Daarmee omzeil je aardig wat scriptkiddies.
Typisch gedrag is om per systeem een random variabele te genereren, bijvoorbeeld op basis van de CPU.

kimborntobewild @phizzie • 13 oktober 2024 12:35

Waarschijnlijk pas je zoiets toe zodat je cruciale executables niet meer in een voorspelbaar pad zet. Daarmee omzeil je aardig wat scriptkiddies.

Er is niks randoms aan, het op elke Windows-PC hetzelfde pad.

Typisch gedrag is om per systeem een random variabele te genereren, bijvoorbeeld op basis van de CPU.

Lijkt me niet; dan werkt de boel niet meer als je je CPU wijzigt.

[Reactie gewijzigd door kimborntobewild op 13 oktober 2024 12:36]

Memori @kimborntobewild • 13 oktober 2024 13:51

Dat heeft met het UWP te maken. Apps in de UWP zijn gesandboxed van elkaar (het enige goede van UWP), een feature dat het eigen bestandsysteem van Windows eigenlijk had moeten hebben maar niet kan vanwege legacy ondersteuning (zodat je per app kan bepalen of die ook de directory van andere apps mag lezen/schrijven). Helaas betekend dat dus dat je van deze rare onnozele paden krijgt waar je niets aan hebt tijdens het navigeren.

Ossebol 11 oktober 2024 20:34

Zijn de meeste slachtoffers ook daadwerkelijk Russisch, of wordt dit enkel als feit gepresenteerd doordat Doctor Web een Russisch antivirusbedrijf dat vermoedelijk hoofdzakelijk daar klanten heeft? Met andere woorden: hoe vaak komt dit voor buiten de genoemde landen?

raro007 @Ossebol • 11 oktober 2024 20:50

Iedereen die iligaal software gebruikt kan het krijgen, want het is niet zo dat westers gebruikers geen iligaal software gebruiken.
Daarbij denk ik dat westers gebruikers meer interessante zijn denk ik.

HakanX @Ossebol • 11 oktober 2024 22:25

In landen met slechtere internetverbindingen en soms zelfs nog een quota op vaste verbindingen wordt vaak geen torrents waar je nog kan kiezen uit betrouwbare users gebruikt. Veel software en games worden gedownload in delen via verschillende services zoals Mega. Meestal wordt er ook nog eens gelinkt via een doorstuurservice om enkele centen te verdienen aan reclame wat waardevol is in die landen. Er is ook een cultuur van wachtwoordbeveiliging met de websitenaam of Telegramkanaal zodat niet iemand anders hun werk "steelt".
Wachtwoorden zijn hierdoor algemeen geaccepteerd en staat de gebruiker er niet bij stil dat dit gebruikt kan worden om malware te verbergen.

rob12424 @Ossebol • 12 oktober 2024 11:59

Door de sancties is het moeilijker om o
Legaal programma's uit het westen te kopen. Daarnaast heeft Rusland vanwege die sancties een soort van een vrijbrief gegeven om illegale software te downloaden.

Dus ik denk dat die aantallen aardig kunnen kloppen.

fenrirs 11 oktober 2024 20:39

Ik vind het aantal zelfs nogal weinig, gezien de verspreiding van populaire software in genoemde landen.

Jeroen hofman 12 oktober 2024 12:12

Mijn laptop werd vorige week erg traag, Bleek een Coinminer actief te zijn
Terwijl windhoos de melding gaf risico laag. ik vraag me af hoe effectief dan Defender is
In deze link word verwezen naar Navigate to this folder: C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service
Echter zie ik geen map in ProgramData\Microsoft.......
Iemand een tip, idee. Ik heb de Microsoft Safety Scanner gedownload en uitgevoerd en kwam op 208 besmette bestanden uit.
https://answers.microsoft...34-40e8-a30b-cc4a7a938d6c

Scriptkid @Jeroen hofman • 12 oktober 2024 15:03

Alleen een coin miner is toch ook laag risico,

Zilang er geen cenc in zit.

Als je dit heb heb je waarschijnlijk op minder valide dingen gedaan.

Tip volgende keer in een VM doen.

[Reactie gewijzigd door Scriptkid op 12 oktober 2024 15:04]

Jeroen hofman @Scriptkid • 12 oktober 2024 22:46

Alleen een coin miner ??
met de zoektocht kwam ik uit op Remove Trojan:Win32/CoinMiner (Virus Removal Guide) - MalwareTips Forums en blijkt dus een virus trojan
word verwezen naar Navigate to this folder: C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service en deze map vindt ik niet terug op Laptop schuif C: show hidden staat aan. ook met totalcomander zie ik deze map niet.
Ik heb de Microsoft Safety Scanner gedownload en uitgevoerd en kwam op 208 besmette bestanden uit. vandaar mijn bericht. Na de Microsoft Safety Scanner werkt de laptop weer normaal.
Met VM ben ik niet echt bekend Hoe bedoel je volgende keer in VM doen

dorresnatser @Jeroen hofman • 13 oktober 2024 01:45

Dat is alleen als Defender het bestand had gevonden, en als ongewenst had beschouwd.
Jij hebt Microsoft Safety Scanner gebruikt om de bestanden op te ruimen.

Goldwing1973 @Jeroen hofman • 13 oktober 2024 14:40

VM = Virtual Machine

Stoney3K @Jeroen hofman • 13 oktober 2024 09:55

Als je mertkt dat iets je CPU op loopt te slokken, probeer eerst eens Task Manager te openen.

Als je CPU gebruik dan naar bijna nul duikelt dan is het meestal één van deze cryptomalwares, die gaan in standby als Taakbeheer open staat om detectie te ontlopen.

Jeroen hofman @Stoney3K • 14 oktober 2024 10:06

Ik zie in de taskmanager dat de CPU schommelt 12-20 %
Ik had dus Microsoft Safety Scanner gebruikt ga er vanuit dat deze, trojan heeft verwijderd ?

Jespersnei 15 oktober 2024 13:32

Damn, zag dat ze op https://cryptorecovers.com al een waarschuwing hadden geplaatst.. maar wist niet dat het zo was.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (28)

Sorteer op:

Weergave: