Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 66 reacties

Onderzoekers van het bedrijf BarracudaLabs stellen dat zij in een nieuwe grootschalige phishingaanval een geraffineerde methode hebben ontdekt om bankgegevens van nietsvermoedende LinkedIn-gebruikers te ontfutselen.

De afgelopen week werd spam ontdekt met e-mails die afkomstig lijken van LinkedIn. De LinkedIn-gebruiker wordt gevraagd, zoals gewoonlijk bij phishingaanvallen, om een link aan te klikken, in dit geval onder andere naar domeinen als linkedin-reports.com en linkedin-alert.com.

In tegenstelling tot reguliere pogingen om malware te installeren, krijgen gebruikers geen popups te zien met meldingen of een bepaald bestand uitgevoerd mag worden: bij een klik op de link lijkt er niets te gebeuren, maar ondertussen worden er via een exploitkit aanvallen uitgevoerd op Internet Explorer, de pdf-plugin van Adobe Reader en Windows Media Player. Als de aanval slaagt, wordt Trojan.Jorik geïnstalleerd. Deze malware poogt inloggegevens te stelen.

De malwarekit haalt vervolgens een configuratiebestand op waarin een aantal websites van met name Amerikaanse banken zijn opgenomen. De malware kan op dat moment de inlogpagina's manipuleren door code toe te voegen, nog voor deze via het https-protocol worden versleuteld en verstuurd. Via deze toegevoegde code wordt geprobeerd om een telebankierende gebruiker  aanvullende persoonlijke gegevens afhandig te maken.

BarracudaLabs stelt dat spam-mails nog steeds een groot gevaar vormen door de toenemende complexiteit van de code en de geraffineerde manieren om gebruikers te verleiden om op links te klikken. Daarbij verwijst het bedrijf naar een geval in de VS, waarbij een nonprofit-organisatie voor honderdduizenden dollars werd bestolen nadat de pc van een werknemer met malware besmet raakte.

Moderatie-faq Wijzig weergave

Reacties (66)

Zelfde Trojan heb ik vandaag op/via Facebook gezien. Gaat over een filmpje met iemand die onderhuids een spin heeft. Je krijgt daarna een spaanse FB variant en als je die direct sluit krijg je een pop-out naar de geinfecteerde site.
Dus je bent gewaarschuwd ...
Yep, bij mij in de omgeving al een aantal besmettingen van mensen zonder goed werkend of zelfs ontbrekend securityprogramma. Je zie het filmpje in willekeurige profielen verschijnen en dan weet je dat er weer iemand geklikt heeft.
Het filmpje komt ook op andere sites voor. En er zijn andere varianten, zoals een filmpje van een vader die zijn kind laat vallen om een bal te vangen.
En die loopt nog steeds, heb die daarnet ook gezien
Het kinkt een beetje zoals gebeurt lijkt te zijn bij de ing, waar mensen ineens een tan code moesten uitvoeren op de website van de desbetreffende bank
Dat was via een overlay (en controleerbaar), dit is gewoon een link die je zelf moet aanklikken naar een ander domein dan linkedin, dat zou al een indicatie moeten wezen dat het niet goed zit.
En bij de banken was er ook weer een "officiele" beveiligings-check vanaf een vps-accountje in de US met een vage domeinnaam, al die linkedin-varianten hebben tenminste nog in de domeinnamen overeenkomsten staan.
Hoe moet ik dit nu zien? Zit ik alleen in de risicogroep als ik internet explorer gebruik of is het al genoeg als je WMP heb geinstalleerd? want voor zover ik weet is op elke windows-pc WMP geinstalleerd. ook al gebruik je deze software niet, het is zo ver geintegreerd in het OS dat een volledige de-installatie niet mogelijk is.

Edit: volgens mij gaat het om de WMP plugin van IE maar dat staat niet duidelijk in het artikel.

Verder gewoon niet op vreemde links in emails klikken en altijd de hyperlink bekijken als deze niet direct zichtbaar is.

offtopic: vraag me af wanneer er nepemails komen die gewoon alle normale links bevatten behalve de "opzeggen voor deze nieuwsbrief" link. Kan me voorstellen dat veel ervaren computergebruikers daar zelfs intrappen. Dat lijkt me een stuk smeriger dan het in het artikel genoemde geval.

[Reactie gewijzigd door Bafti op 28 augustus 2011 16:48]

Het gaat kennelijk om een programma dat exploits in meerdere plugins probeert te gebruiken.
Op wel leesbare links moet je ook niet klikken http://www.microsoft.com.
Waarom gaat dit zo moeilijk via emailtjes?
In principe kan toch welke website met deze exploid besmet zijn?
Dan is het toch gewoon een kwestie van veel bezoekers naar je besmette site krijgen...
Zo blijkt maar weer dat ze steeds gehaaider worden met dit soort dingen. Geen pop-ups meer, alleen een linkje dat, naar het schijnt, redelijk legitiem zou kunnen zijn.
Zo staat en valt het goede gebruik van internet en veiligheid nog steeds samen met hoe de gebruiker er mee omgaat. Hoe ver het internet ook geŰvolueerd is de eindgebruiker blijft toch de belangrijkste schakel als het om de veiligheid gaat!
Heeft dus niets met LinkedIN te maken. Had net zo goed een mailing van "Amazon" of wat dan ook kunnen zijn.
"Als de aanval slaagt, wordt Trojan.Jorik ge´nstalleerd. Deze malware poogt inloggegevens te stelen."

1 van de redenen waarom ik bij het afsluiten alle info laat wissen en nooit toesta om accounts te onthouden. Zeker niet van banken.

Ik schrijf het gewoon op de achterkant van mijn hand.


I kid. ;)
Ahha, dit verklaart dus het mailtje wat ik ineens kreeg dat iemand mij wou toevoegen aan zijn LinkedIn nogwattes.
Vond het al vreemd aangezien ik geen LinkedIn profiel heb en ik de persoon ook niet ken.
Uit voorzorg maar direct weggegooid en dat blijkt dus geen overbodige luxe te zijn geweest.
Pas dus op met "uitnodigingen" voor LinkedIn.
Inderdaad een beetje vreemd als je zo'n email krijgt en helemaal geen LinkedIn profiel hebt.
Als je wel een LinkedIn profiel hebt log je gewoon op de LinkedIn site in en kijk je daar wat voor uitnodigingen o.i.d. er staan.
Daar heb je echt geen email uitnodigingen voor nodig.

Voor de rest zou het handig zijn als LinkedIn onmiddellijk sites als "linkedin-reports.com" uit de lucht laat halen. Zo moeilijk moet dat niet zijn.
Dat lost het probleem helaas niet op maar het helpt wel spam/phishing te bestrijden.
Dat is blijkbaar nog niet zo makkelijk.
Krijg ook genoeg van die World of warcraft phishingmails die urls gebruiken die net ff anders zijn.
Kan me niet voorstellen dat een bedrijf als blizzard dat toestaat als het "simpel" is uit te roeien.
Gelukkig gebruik ik voor addon sites etc altijd een ander emailadres als bij "vertrouwde" sites als blizzard. Daardoor is voor mij wel erg makkelijk te zien wat een fishingmail en wat een echt mailtje is.

[Reactie gewijzigd door arbraxas op 28 augustus 2011 17:25]

Het gebruik van eigen emails voor bepaalde website is helaas ook niet betrouwbaar.
Voorbeeld. Ik registreer mij op Monsterboard met een emailadres wat ik alleen daar gebruik. (zoiets als monsterb@mijnemaildomein.nl)
Het email adres bevat niet de volledige naam van de site, er staat dus niet een makkelijk te raden monsterboard maar iets anders zoals monsterb.
Toch komt er op dat emailadres vrolijk spam binnen. Rara hoe komen ze aan dat emailadres? Ik weet het niet.
Dit heb ik diverse malen meegemaakt zodat het er op lijkt dat sommige bedrijven "lekken . Probeer het maar eens te bewijzen, dat valt niet mee.

Phishing is en blijft irritant net als alle spam.
Gewone spam is echter ongevaarlijk vergeleken met phishing.
inderdaad,
Vaak maak ik ook zo'n site-specefieke mail aan, en het is ongeloofelijk hoeveel bedrijven "lekken" (lees doorverkopen of door derden voor "marketingsdoeleinden" laten gebriken)
Zelf heb ik eens meegemaakt dat een werkgever (een winkeleigenaar) zijn gehele database (naw gegevens; leeftijd; aankoopbedragen.. kortom: alles) meegaf aan een extern bedrijfje voor een reclame actie (heftig protest van mijn kant maakte niets uit).
Met andere woorden: d'r zijn nogal wat bedrijven die uiterst onzorgvuldig met de gegevens van anderen omspringen.
Je kan iedereen uitnodigen via LinkedIn dor gewoon hun email-adres op te geven (of je laat LinkedIn heel je gmail / hotmail / facebook / ... mailen).

Je hoeft dus (nog) geen LinkedIn te hebben om uitgenodigd te worden.

Dit ter info :)
en ik de persoon ook niet ken
Tenzij de beste man in het wilde weg aan het uitnodigen is hou ik het op die trojan.
Kan alleen de urls niet meer checken aangezien de prullebak al is leeggemaakt.
De malware kan op dat moment de inlogpagina's manipuleren door code toe te voegen, nog voor deze via het https-protocol worden versleuteld en verstuurd.
Dus in principe merk je niets aan de pagina?
Als je oplet zal dus opvallen dat het adres nooit linkedin.com is,maar altijd linkedin-ietsextras.com. Daarnaast moet je eerst nog eens op een link klikken in de ontvangen e-mail. Ikzelf klik nooit op links in e-mails tenzij het een persoonlijke e-mail is en ik dan adhv de inhoud kan bepalen of het geen automatisch bericht is.

Zelfs als het een e-mailtje is met: uw account is geblokkeerd, verifieer ik dit altijd door simpelweg in te loggen op de desbetreffende website. Dan kom je er direct al achter dat het geen zuivere koffie is als dat gewoon lukt :)
Als de malware zoals beschreven in het artikel de hosts file aanpast, zie je meestal gewoon de naam van de juiste site.

Gelukkig gebruik ik geen LinkedIn. Dit soort praktijken wordt trouwens al heel lang toegepast. Ik krijg al super lang email dat mijn RuneScape account is gebanned enzo, terwijl ik er niet eens een heb. Hetzelfde geldt voor World Of Warcraft welke ik nooit gespeeld heb.
Om de hostsfile aan te kunnen passen moet een aanvaller eerst toegang hebben tot de computer. Als de hostsfile is aangepast staat de malware er dus al op. Maar voordat je dat krijgt kunnen ze echt niet zomaar andere url's weergeven in je browser, tenzij ze toegang hebben tot jouw dns, of het protocol kunnen onderscheppen.
Daar zorgt juist de malware voor. Dankzij de IE, Media player en PDF exploit krijg je de trojan op je PC. Die trojan bewerkt je hosts file zodat ze neppe banksites laten zien, welke je gegevens phishen.
Als je WinXP hebt, loop je inderdaad dat risico, maar da's het risico van bijna 12 jaar oude troep, maar vista/win7 vereisen admin rechten om het Hosts bestandje te kunnen aanpassen. Tenzij je zo onvoorstelbaar dom bent om UAC uit te zetten, zou je daar geen last van kunnen hebben. Op Mac/Linux is deze exploit sowieso niet van toepassing, maar mocht dat wel zo zijn, daar heb je ook meer rechten nodig voor het aanpassen van het Hosts "bestandje".
Die zooi met de gebruikers accounts is er gewoon bovenop gekwakt, is niet zoals een UNIX-like systeem door de kernel verweven. Tot en met Vista kon je nog jezelf gewoon admin maken door in de command line te verkondigen dat je admin wilde worden.

Maar goed, altijd beter dan Windows 98 waarbij je gewoon tijdens het inloggen op "annuleren" kon drukken en dan logde je in met adminrechten.

[Reactie gewijzigd door Wolfos op 29 augustus 2011 02:08]

UAC zet toch iedereen uit ? Voor elke habbekrats moet je praktisch een handtekening zetten.
Alleen mensen die graag afgesloten worden van internet wegens spamruns doen vanaf hun botnet onderdeeltje zetten UAC uit.

Overigens is UAC in Vista SP1 en hoger stukken minder intrusive.
Yep, al die lastige vragen maar of website x/email y/crack z wel allerlei systeembestanden mag aanpassen. Natuurlijk mag website x/email y/crack z dat, zolang ik maar die leuke lolcat aan het einde krijg klik ik wel gewoon blind door op Ja/yes/I accept...

Het enige wat ik nog jammer vind is dat ik 40x op Ja/Yes/I accept moet klikken, dat mogen ze er ook wel uithalen. Die browserbars etc vind ik toch enkel behulpzaam.
Onzin. Zeker in Windows 7 is het een stuk minder en voor de rest kom ik het bij dagelijks gebruik ook nauwelijks tegen.
Enkel zij die niet willen weten wat ze doen of constant cracks installeren hebben er last van.

Verder werk niet als administrator, UAC word er nog gemakkelijker op , ook onder Vista (of vooral onder)
Als admin wordt er inderdaad voor elke actie apart een UAC bevestiging gevraagd, als gebruiker slecht 1 maal het admin account & paswoord.

Als jij dat regelmatig nodig hebt of tegen komt ben je verkeerd bezig.
Als je WinXP hebt, loop je inderdaad dat risico, maar da's het risico van bijna 12 jaar oude troep
Het maakt niet uit hoe oud iets is: als 't goed ontworpen is, moeten zulke exploits gewoon nooit mogelijk zijn. Verder is 't ook niet 12 jaar oud, want XP wordt nog steeds geupdate. Natuurlijk zijn sommige onderdelen 12 jaar oud, maar dat geldt evenzo voor Vista, Win7, etc. Vista en Win7 zijn vnl. grafische bullshit- en kunstmatig gedwongen updates van XP (middels bijv. DirectX alleen nog voor de nieuwste OS uit te brengen).
Er zijn wat extra security features toegevoegd in Vista/Win7, maar 't blijft klungelen aan 't oppervlak (eigenlijk vooral symptoonbestrijding van zijn eigen lekken) i.p.v. de boel in de basis op te lossen.
En over 12 jaar zit er uiteraard weer een of andere Sleep0rz te roepen dat men eindelijk eens van dat Win7 afmoet... Da's immers toch alweer bijna 12 jaar oud. (Op zich terecht, want net als Win95, WinXP, etc. zal Win7 nimmer veilig zijn. Maar dat geldt dus gewoon voor ALLE Windows-versies.)
Ouderdom moet helemaal geen rol spelen. Een Veilig Ontwerp (en daaraan vasthouden, en niet vervolgens middels extra nieuwe features ondersteunen later weer open zetten), DAT moet een rol spelen. En overheden zouden eens eisen moeten stellen aan de veiligheid van 'consumenten-OS'ssen' en ook openheid eisen zodat men mensen voor fouten (in de veiligheid) verantwoordelijk kan houden.
En het spamprobleem moet opgelost worden door gewoon niet anoniem te kunnen emailen.
Idd ik krijg precies dezelfde mails, zo ben ik eens mijn WoW account verloren :+ speelde het al een jaar niet meer, toen eens op zo'n mail geklikt en kreeg al snel een echte blizzard mail dat mijn account benaderd was door onge autoriseerden en dat ze dat gingen onderzoeken. Sindsdien is mijn WoW account volledig geblokkeerd.
Zulke mails worden ook over runescape accounts verstuurd. De link in de email staat echter als: https://secure.runescape....orm.ws?mod=www&ssl=0&dest
, maar hover maar eens met je muis over de link en je ziet staan:

http://secure-runescape-c...d=www&ssl=0&dest=index.ws

Ofwel, de "secure." is vervangen door "secure-" wat het opeens geen subdomein van runescape.com meer maakt, maar een heel ander domein. secure-runescape.com namelijk.

Er wordt in dit geval niks aan de host file aangepast, dit is gewoon een html e-mail die gebruik maakt van <A href=link naar phishing site>Link naar runescape.com</a>
offtopic:
Volgens mij moet je die 2e link nog maar eens goed bestuderen. Het is helemaal geen runescape.com meer, maar cu.cc B)
Excuses.. Dan nog is het idee duidelijk dat je naar een heel ander domein wordt gelinkt door een simpele html email.
Waar lees je dat de hosts file word aangepast? Ik zie dat nergens staan, en dat lijkt me ook niet logisch, want dan kan de gebruiker niet meer inloggen op de website. Dit zal eerder te werk gaan als het virus van ING, wat de HTML code aanpast op de website (client-side natuurlijk) zodat de gebruiker niets merkt maar wel een leuk popupje krijgt om een TAN code in te voeren.
strandbal heeft het over de site van bijv. je bank, nadat je door de trojan bent ge´nfecteerd. Als ik goed begrijp wat er staat merk je dat inderdaad niet en zie je gewoon een slotje in beeld, dus alsof het veilig is...

Neem aan dat dit niet zomaar bij iedere browser werkt. Hoe dan ook is voorzichtigheid geboden!
Als je oplet zal dus opvallen dat het adres nooit linkedin.com is,maar altijd linkedin-ietsextras.com. Daarnaast moet je eerst nog eens op een link klikken in de ontvangen e-mail. Ikzelf klik nooit op links in e-mails tenzij het een persoonlijke e-mail is en ik dan adhv de inhoud kan bepalen of het geen automatisch bericht is.
Ja, ik heb geen LinkedIn en gebruik ook geen IE en geen Adobe.
Niet iedereen kijkt naar zo'n link. Jij en ik toevallig wel, en waarschijnlijk nog meer gebruikers.Maar er zijn er genoeg die niet kritisch (genoeg) naar zo link kijken, voor erop te klikken.Zo zie je maar weer. Beter iets anders dan IE gebruiken.

Heb je die trojan kun je hem zo verwijderen. Ongeacht of hij al z'n werk al dan niet gedaan heeft.
http://www.pcthreat.com/parasitebyid-9781en.html

[Reactie gewijzigd door Dutchphoto op 28 augustus 2011 22:05]

Strandbal bedoelt de pagina van je online-bankieromgeving. Zoals gezegd merk je daar dus niks van. Vraag is wat ze verder willen met deze gegevens, omdat ze nog geen transacties kunnen uitvoeren...
Geraffineerde malware richt zich op LinkedIn-gebruikers
moet zijn:

Geraffineerde malware richt zich op LinkedIn-&&windows gebruikers
Logisch dat het zich op Windowsgebruikers richt.... Als het zich zou richten op Meamo gebruikers hebben ze niet veel potentiele klanten.
Dus waarom zou je de titel willen wijzigen?
Omdat we niet meer in de jaren 90 leven. Het internet is geen Windows-faciliteit meer. Tegenwoordig hebben mensen smartphones, tablets, televisies en een heel scala aan andere apparaten waar uberhaupt geen desktop-OS op gaat draaien, laat staan Windows. En dat gaat de komende jaren alleen nog maar sneller.
Als het om een Mac exploit ging, zou je dan niet raar vinden als dit niet vermeld werd in de titel? Zo denk ik ook over de zoveelste Windows exploit, en vind dat boksbeugel een goed punt maakt.
Tja, 90% van de gebruikers gebruikt toch Windows dus waarom zeggen dat het een Windows applicatie betreft op je website? Ben ik ook goed zat, of heb je van die eikels die zeggen "works on Mac with virtualbox"...
Eerder LinkedIn & Internet Explorer gebruikers
Nee, de malware zoekt een scala aan windowslekken af dmv een windows exploit kit.
Inderdaad, het gebruikt ook lekken die zitten in een programmatje dat bedoelt is om printerbestanden te bekijkenn..

Printerbestanden bekijken, meer hoeft Adobe Reader niet te doen voor mij. Maar de genies bij Adobe denken dat er een noodzaak bestaat om code uit te voeren vanuit een programmaatje dat in beginsel gebruikt wordt om eenvoudige documenten te lezen.

Evenwel vraag ik me af of dit ook onder Linux werkt. Ik heb Adobe Reader namelijk geinstaleerd omdat een bedrijf dat in printen is gespecialiseerd mij ooit verteld heeft dat Adobe de PDF-standaard anders interpreteerd dan specificeert, dus ben ik altijd bang dat ik met een klein en lichtgewicht, snel en veilig pdf-leesprogramma een net iets andere opmaak voorgeschoteld krijg.
Installeer dan een ander pdf-leesprogramma en als je merkt dat je een picasso hebt dan open je het met adobe reader? Associeer adobe reader niet met pdf bestanden zodat die ook niet wordt gestart uit de browser etc.
denk dat adobe maar eens wat voortvarender update uitrollen, heel vaak zag ik dat ze plugin met nieuwe versie FF of IE niet meer compatibel waren, pas als ik adobe reader X installeerde...

blijkbaar doen ze weinig met oude versies alleen de hele oude versies, en je ziet wel een update maar die word weg geklikt eigenlijk zou zo'n plugin zich zelf moeten checken en uitschakelen als ie oud is of niet naar huis kan bellen...

dan gaan de mensen wel updaten.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True