Een nieuwe rootkit ontdekt door ESET richt zich op Nederlandse Google Chrome-gebruikers die bij de Rabobank zitten.

Het gaat om de Theola-malware die door de Mebroot-rootkit wordt geïnstalleerd. Deze malware installeert verschillende browserplug-ins zodat geld van een bankrekening kan worden gestolen. De nieuwste variant van Theola installeert zich in Google Chrome als ‘Default Plug-in 1.0’.

Zodra slachtoffers op een bepaalde bankwebsite komen, dan worden de inloggegevens en creditcardgegevens onderschept en worden deze naar de aanvallers verstuurd. Rabobank is door de aanvallers hardcoded toegevoegd, zo laat ESET weten en blijkt uit onderstaand screenshot. Daarnaast heeft de malware ondersteuning voor onder meer de Regiobank, SNS, ABN AMRO en de Friesland Bank.

Omdat Theola zich als Chrome-plug-in installeert, is deze voor virusscanners lastiger te detecteren. De plug-in gebruikt namelijk alleen gedocumenteerde methodes om de websites mee te besturen. Inmiddels detecteren de meeste virusscanners de kwaadaardige plug-in al.

Naast het onderscheppen van inloggegevens en besturen van websites kan Theola ook video-opnamen maken, gezien de malware beschikt over MPEG-functionaliteit. ESET ontdekte dat de malware vooral actief is in Nederland, gevolgd door Noorwegen, Italië, Denemarken en de Tsjechische republiek.

Bron: security.nl

Apple beschermt Mac-gebruikers tegen adware

Na de ontdekking van adware voor Mac OS X heeft Apple stilletjes een update voor de in het besturingssysteem ingebouwde virusscanner uitgebracht. Woensdag verscheen een melding van de Yontoo adware die een toenemend aantal Mac-computers zou weten te infecteren. De infecties vinden plaats via zogenaamde videosites waar gebruikers een plug-in moeten downloaden om een filmpje te bekijken.

In werkelijkheid gaat het hier om een een Trojaans paard dat de Yontoo-adware downloadt. Yontoo installeert een plug-in voor Safari, Chrome en Firefox.

De plug-in stuurt vervolgens het surfgedrag van de gebruiker naar een server van derden en toont advertenties op de websites die de gebruiker bezoekt. De adware bleek sommige Mac-gebruikers helemaal gek te maken.

Anti-virus
De XProtect virusscanner in Mac OS X is nu in staat de adware te herkennen, zo ontdekte Mac-beveiliger Intego. Volgens het anti-virusbedrijf gaat het om een zeer specifieke detectie die mogelijk locatieafhankelijk is. Dit is waarschijnlijk gedaan om stiekeme installatie van de Yontoo-bestanden te detecteren.

Bron: Security.nl

Combofix: goed bedoeld onveilig

Behalve de standaard antivirussoftware zijn er veel losse (vaak gratis) pakketten om computers op te schonen van mal en spyware. Waar antivirus continue ‘waakt’ over een systeem worden deze pakketten handmatig door een gebruiker gestart.

Combofix ís zo’n pakket en net als de meeste van dit soort producten gaat het vrij agressief te werk om zo veel mogelijk mal en spyware te kunnen detecteren en te verwijderen. Het is daarom nodig bestaande beveiligingssoftware tijdelijk uit te schakelen. “Disable or close all anti-spyware, anti-malware antivirus real-time protection” is de eerste stap in de handleiding van Combofix. Combofix is een legitiem pakket en door de agressieve scanmethodes zullen veel beveiligingsproducten de werking inderdaad blokkeren. Toch is het een grote sprong van vertrouwen om als gebruiker je eigen bescherming uit te schakelen zodat een 3rd party softwarepakket alles kan doen op je systeem.

Het risico van het blind vertrouwen werd weer duidelijk toen bleek dat er Combofix zélf een virus bevatte. Een aantal anti-viruspakketten zijn in staat om het virus al te herkennen vóórdat combofix wordt uitgevoerd, maar als gebruikers de beveiliging al vóór het downloaden uit hebben gezet is het een verloren zaak.

Veel consumenten lijken dankbaar gebruik te maken van elke “opschoonsoftware” die ze tegenkomen (het is haast bizar hoe sommige computers vervuild zijn met een wildgroei aan dit soort applicaties). Toch blijkt nu weer dat het loont kritisch te zijn met welke applicaties je gebruikt en bovenal vertrouwd.

Voor meer informatie over de geinfecteerde versie van Combofix zie link.

TROJAANS PAARD STEELT MEER DAN 16.000 INLOGGEGEVENS VAN FACEBOOK GEBRUIKERS

ESET meldt dat er ruim 16.000 inloggegevens van Facebook gebruikers zijn gestolen door het trojaanse paard MSIL/Agent.NKY. Met behulp van social engineering is de malware hiertoe in staat geweest. De gestolen persoonlijke Facebook(FB) inloggegevens werden gekoppeld aan de gebruikersstatistieken van Texas HoldEm Poker wanneer het slachtoffer het spel speelde. De detectie statistieken van ESET wijzen erop dat deze threat zich voornamelijk alleen in Israël voor deed. Ook dient er vermeld te worden dat de applicatie waar de malware zijn pijlen op richtte een legitieme door Zynga Inc. gemaakte applicatie is, en volgens AppData een maandelijks gemiddelde van 35 miljoen actieve gebruikers heeft.

Sinds 2012 wordt deze trojan bestudeert door het lab. Mede dankzij de proactieve detectie waren gebruikers van ESET beveiligingsproducten reeds beschermd tegen deze threat sinds december 2011. Zoals de statistieken uitwezen was voornamelijk Israël het doelwit en daarom heeft is begin 2012 contact geweest met de Israëlische CERT(Computer Emergency Response Team) en politie. Gedurende het onderzoek kon er geen publiek statement gemaakt worden en inmiddels is de bedreiging onschadelijk gemaakt.

De aanvaller heeft de malware gebruikt om FB inloggegevens, de score en de hoeveelheid creditcards binnen de facebook settings waarmee de speler zijn/haar krediet binnen het pokerspel konden opgeven, te stelen. Het spel had een functie waarmee het aantal chips kon worden aangevuld met echt geld door gebruik te maken van de creditcard informatie of PayPal gegevens. Om de inloggegevens te verkrijgen werd een leger van 800 computers gebruikt, allemaal geïnfecteerd door de aanvaller. Deze machines voerde commando’s uit vanaf de C&C(Command&Control) server. De maker van deze bedreiging startte de aanval door gebruik te maken van inloggegevens van verschillende FB accounts welke reeds voor hem/haar beschikbaar waren.

“Om je te beschermen tegen Social Engineering aanvallen is het hebben van een goede beveiligingsoplossing niet genoeg. Gebruikers moeten ten alle tijden bewust zijn van de mogelijkheid.” Zegt Nienke Ryan, Managing Director van SpicyLemon. Zij voegt toe “De gebruiker zou de nagemaakte FB login pagina kunnen herkennen als hij of zij de URL van de site controleert.”

De geïnfecteerde computers ontvingen een commando om in te loggen op de FB account van de gebruiker om vervolgens toegang te krijgen tot de Texas HoldEm score en het aantal creditcards gelinkt met FB. In gevallen waar er geen creditcard was toegevoegd, of de gebruiker een lage score had, werd er op het FB profiel een link geplaatst naar een nagemaakte FB login pagina. Deze pagina lokte nog meer gebruikers (De vrienden van het slachtoffer) naar de site welke sterk op de officiële FB pagina leek. Wanneer een gebruiker zijn of haar gegevens ingaf werden deze door de aanvaller opgeslagen. Tijdens de analyse van dit botnet is het aantal gestolen logingegevens op 16.194 geschat. Elke andere FB applicatie kan op deze manier doelwit zijn. Klik hier voor meer informatie op ons blog.

Het aantal bedreigingen wat Facebook gebruikt groeit snel. Om deze trend tegen te gaan is er nu een nieuwe applicatie de ESET Social Media Scanner welke gratis is te gebruiken en in staat is om het profiel van de gebruiker te scannen op kwaadaardige of phishing links. Tevens is de app in staat om kwaadaardige links op de Timeline van vrienden te detecteren.

Over SpicyLemon
SpicyLemon is beveiligingsspecialist van onder andere een nieuwe generatie computerbeveiliging van ESET NOD32 Antivirus, Acronis Backup en Puresight, voor een veilig internet voor kinderen. Een nieuwe generatie, omdat de producten sneller en betrouwbaarder werken dan concurrerende producten en net even anders dan anders functioneren. Bovendien gebruiken de producten hiervoor een minimum aan systeemresources. Daarnaast biedt SpicyLemon seminars, gastlessen en informatie aan om organisaties en gebruikers te ondersteunen bij het inzetten van technologie. Zo kunnen zij een maximaal beveiligde ICT-omgeving realiseren en optimaal gebruik maken van de digitale mogelijkheden.

Bron: SpicyLemon.nl