ZIP-malware besmet 900.000 pc’s in 2 maanden tijd

Een kwaadaardig programma dat malware op computers installeert heeft in slechts twee maanden tijd 900.000 computers weten te infecteren. “Upatre”, zoals de malware wordt genoemd, is een Trojan downloader die zich via e-mailbijlages en ongepatchte software verspreidt.

Slachtoffers krijgen e-mails die zogenaamd van USPS afkomstig zijn of informatie over belastingen of afschriften zouden bevatten. Het meegestuurde ZIP-bestand is in werkelijkheid de Upatre-malware. Naast e-mailbijlages kan Upatre zich ook via drive-by downloads verspreiden, waarbij het lekken in Java en Adobe Reader gebruikt die niet door de gebruiker zijn gepatcht.

Infecties

De afgelopen twee maanden wist Upatre zo’n 900.000 computers te infecteren, waarvan veruit de meeste zich in de Verenigde Staten bevinden. Eenmaal actief downloadde de malware in de eerste maand de Zbot Trojan. Zbot maakt het mogelijk om inloggegevens voor internetbankieren en andere diensten te stelen.

Een maand na de ontdekking bleek Upatre opeens ook de Rovnix-bootkit te installeren, alsmede de “CryptoLock” ransomware en de Necurs Trojan. CryptoLocker versleutelt foto’s, documenten en andere bestanden en vraagt slachtoffers 300 euro voor het ontsleutelen ervan. Necurs schakelt niet alleen aanwezige beveiligingssoftware uit, het downloadt ook weer aanvullende malware, aldus Microsoft.

Bron: Security.nl

Politie waarschuwt voor ransomware die kinderporno toont

De politie waarschuwt Nederlandse internetgebruikers voor een nieuwe ransomware-variant die op besmette computers kinderporno toont. Al honderden mensen in Nederland werden slachtoffer van deze nieuwe ransomware, die net als traditionele ransomware het systeem vergrendelt.

Waarbij traditionele ransomware alleen stelt dat het slachtoffer zich aan misdrijven zoals het bekijken van kinderporno heeft schuldig gemaakt, laat de nieuwe variant daadwerkelijk harde kinderporno op de computer zien, aldus de politie. Om weer toegang te krijgen moeten slachtoffers een betaalcode van bijvoorbeeld Ukash of Paysafecarde aanschaffen en op de computer invullen. Deze betaalcodes zijn in Nederland bij veel winkels verkrijgbaar.

Schaamte

“Met deze kinderpornovariant van ransomware spelen de criminelen in op het schaamtegevoel van computergebruikers”, zegtWilbert Paulissen, hoofd van de Landelijke Recherche. “Als politie zullen we nooit op deze wijze te werk gaan als we verdachten willen vervolgen. Betalen heeft geen zin, de computer wordt niet vrijgegeven. De politie kan overigens onderscheiden of kinderporno is binnengekomen via het virus of op een andere manier.”

Onderzoek

De politie doet zowel in Nederland als internationaal onderzoek naar ransomware. Er zijn al diverse bendes opgerold. In september werd in Nederland nog een aanhouding verricht. Paulissen roept computergebruikers en verkopers van betaalcodes op om zich niet langer te laten misbruiken door deze zware criminelen.

“Deze criminele activiteiten stoppen alleen als slachtoffers niet meer betalen. Als iemand een voucher komt kopen, kun je als winkelier best vertellen dat je ze nooit moet gebruiken als je computer geblokkeerd is. Uiteindelijk help je daar je klant mee.” Om winkeliers hierbij te helpen heeft de politie onder andere een poster laten maken.

Bron: Security.nl

3 miljoen Nederlanders slachtoffer van cybercrime

De afgelopen 12 maanden zijn 3 miljoen Nederlanders het slachtoffer van cybercrime geworden, zo beweert anti-virusbedrijf Symantec aan de hand van een onderzoek onder 500 Nederlanders. De totale schade zou 140 miljoen euro bedragen.

De definitie van cybercrime die voor het onderzoek werd gehanteerd is vrij breed. Onder de ‘slachtoffers’ bevinden zich ook mensen die door oplichters zijn opgebeld dat ze een virus op de computer hebben. Het gaat hier om de bekende Windows helpdesk telefoonscam, die het afgelopen jaar zeer actief in Nederland was.

Slachtoffers

Ook als deze mensen alleen werden opgebeld zijn ze volgens Symantec al het slachtoffer van cybercrime. Ook het verliezen van een smartphone die vervolgens zonder toestemming werd gebruikt valt volgens Symantec onder de definitie van cybercrime. Verder komen in de lijst met cybercrime-activiteiten ook zaken voor als ransomware, gehackte social netwerkprofielen en het reageren op phishingmails.

Het op een ongewenste seksuele manier op internet benaderd worden, stalking, cyberpesten, het ontvangen van naaktfoto’s en het ontvangen van sms-berichten waarin werd gevraagd om op een link te klikken konden deelnemers aan het onderzoek als cybercrime of negatieve online ervaring aanmerken.

Kritiek

De cijfers van de onderzoeksgroep werden vervolgens naar de gehele bevolking vertaald. Onderzoeken van anti-virusbedrijven over het aantal slachtoffers van cybercrime en de schade die dit veroorzaakt worden vaak door experts bekritiseerd. Onlangs liet McAfee nog weten dat het een onderzoek naar de schade van cybercrime betreurde, omdat er een veeltehoog bedrag werd genoemd.

Het probleem is echter dat sommige van deze rapporten wel door politici en belangengroeperingen worden gebruikt. Een bekend voorbeeld is dat cybercrime groter dan de drugshandel zou zijn. Een mythe die in nog steeds veel presentaties opduikt.

Bron: Security.nl

Zakelijke virusscanner Microsoft weer laatste in test

Microsoft beweert dat de zakelijke beveiligingssoftware die het aan bedrijven aanbiedt voorop loopt in de detectie van malware, maar onderzoek van het gerenommeerde testorgaan AV-Test.org naar de effectiviteit van zakelijke beveiligingspakketten laat een heel ander verhaal zien.

Voor de tweede keer op rij scoorde System Center Endpoint Protection een 0 voor het detecteren van malware. De test van AV-Test vergeleek van negen pakketten de bescherming, het gebruik en de prestaties over de periode juli en augustus. In totaal konden de 9 virusscanners voor elk van de drie categorieën 6 punten scoren, oftewel 18 punten in totaal.

Voor de bescherming werd gekeken naar de bescherming tegen zero-day malware-aanvallen en detectie van malware uit de laatste vier weken. De ‘Performance’ test bestond uit de impact van de virusscanner op de werking van de computer, zoals het installeren en uitvoeren van software en het kopiëren van data. Als laatste werd de bruikbaarheid beoordeeld, zoals het onterecht waarschuwen voor legitieme software en websites. De test werd op Windows 7 SP1 64-bit uitgevoerd.

Test

Om door AV-Test gecertificeerd te worden moesten de virusscanners minimaal 10 punten scoren, en 1 punt in elke categorie hebben gehaald. Net als bij de consumententest scoort Microsofts virusscanner bij de detectie van malware zeer slecht. Security Essentials scoorde een 0,5 waar 6 punten mogelijk zijn. Bij de zakelijke test werd Microsoft System Center Endpoint Protection getest.

Deze scanner scoort bij de detectie van malware, net als bij de vorige test over de periode mei en juni een 0. Aangezien Microsofts scanner als ‘basislijn’ fungeerde werd het niet gecertificeerd. F-Secure en Symantec haalden in deze categorie de volle 6 punten.

Uitslag

Wat betreft prestaties weet alleen Webroot de volle zes punten te behalen, de scanner scoort echter wel 3 punten voor de detectie van malware. Fortinet zet met 1,5 punten voor prestaties de laagste score neer. Als het gaat om bruikbaarheid halen Fortinet, McAfee, Microsoft, Sophos en Trend Micro zes punten.

Symantec scoort uiteindelijk 16,5 punten in totaal en is daarmee voor de tweede keer op rij de beste zakelijke virusscanner. F-Secure volgt met 15 punten op de tweede plek. Microsoft System Center Endpoint Protection eindigt met 11 punten op een laatste plek. Hieronder het volledige overzicht.

Bron: Security.nl

Nederlanders doelwit valse AutoWeek-mail

Nederlandse internetgebruikers zijn op dit moment het doelwit van een malware-aanval waarbij de naam van AutoWeek wordt gebruikt. De malware wordt verspreidt via een e-mail die als onderwerp “Uw kentekenrapport (basis versie) voor” heeft en van AutoWeek.nl afkomstig zou zijn.

De tekst van de mail laat weten: “Beste, Hierbij ontvangt u het opgevraagde kentekenrapport (basis versie) voor de auto. Met vriendelijke groet, AutoWeek.” De ZIP-bijlage bevat een bestand met een dubbele extensie: kentekenrapport-6HT5D33C.pdf.exe. Aangezien Windows standaard de bestandsextensie niet toont, lijkt het om een PDF-bestand te gaan.

Banking Trojans

In werkelijkheid gaat het om de Andromeda-malware, die verschillende banking Trojans zoals Sinowal en Torpig op het besmette systeem downloadt, aldus Mark Loman van beveiligingsbedrijf SurfRight tegenover Security.NL. Dit is malware speciaal ontwikkeld om inlog- en transactiegegevens voor internetbankieren te stelen, waarmee cybercriminelen geld van de rekening van het slachtoffer kunnen halen.

Op Twitter laat Loman weten dat de aanval waarschijnlijk het werk is van de bende die eerder achter de valse TNT enPostNL-mails zat. Ook toen ging het om een Nederlandstalige e-mail met een bijlage die de Sinowal banking Trojan bevatte.

Bron: Security.nl

Internet Explorer exploit verstopt in Word-document over Syrië

Bij een gerichte aanval hebben aanvallers een Word-document met nieuws over Syrië gebruikt om ontvangers via een recent gepatcht lek in Internet Explorer met malware te infecteren. Het document heeft als onderwerp “Fwd: chemical attack in Syria”, zo meldt Symantec.
Het document bevat een artikel van de Washington Post over chemische oorlogsvoering in Syrië. Zodra de ontvanger het document opent, probeert een exploit voor een beveiligingslek in Internet Explorer om een backdoor te installeren. De kwetsbaarheid in IE6 t/m IE10 werd in mei van dit jaar door Microsoft gepatcht en was ontdekt door het Franse beveiligingsbedrijf VUPEN.

Gisteren werd er ook al gewaarschuwd voor een e-mail die zogenaamd nieuws over een Amerikaanse aanval op Syrië bevat, maar in werkelijkheid ontvangers naar een website lokt die onveilige versies van Adobe Reader en Java aanvalt.Bij een gerichte aanval hebben aanvallers een Word-document met nieuws over Syrië gebruikt om ontvangers via een recent gepatcht lek in Internet Explorer met malware te infecteren. Het document heeft als onderwerp “Fwd: chemical attack in Syria”, zo meldt Symantec.
Het document bevat een artikel van de Washington Post over chemische oorlogsvoering in Syrië. Zodra de ontvanger het document opent, probeert een exploit voor een beveiligingslek in Internet Explorer om een backdoor te installeren. De kwetsbaarheid in IE6 t/m IE10 werd in mei van dit jaar door Microsoft gepatcht en was ontdekt door het Franse beveiligingsbedrijf VUPEN.

Gisteren werd er ook al gewaarschuwd voor een e-mail die zogenaamd nieuws over een Amerikaanse aanval op Syrië bevat, maar in werkelijkheid ontvangers naar een website lokt die onveilige versies van Adobe Reader en Java aanvalt.

Bron: Security.nl

Cybercrime voor het eerst in Opsporing Verzocht

Sinds de start in 1975 wordt er morgen 3 september voor het eerst in het televisieprogramma Opsporing Verzocht van de AVRO aandacht besteed aan cybercrime. In de uitzending wordt stilgestaan bij ransomware, ook bekend als ‘politievirus’ omdat het de computer van slachtoffers vergrendelt en daarbij het logo van verschillende opsporings- en politiediensten laat zien.
“Dinsdagavond de eerste high tech crime-zaak in Avro’s Opsporing Verzocht. Iedereen kan meehelpen, je hoeft dus niets van computers te weten!”, meldt het Team High Tech Crime van de politie op Twitter. Pim Takkenberg, teamleider van de High Tech Crime Unit bij de Nationale Politie, laat op Twitter weten dat de uitzending om ransomware draait. “Op 3 september besteedt AVRO’s Opsporing Verzocht aandacht aan het ‘politievirus’, een ingrijpende vorm van computercriminaliteit.”

Opsporing verzocht

Naast een stuk voorlichting wordt kijkers ook om hulp gevraagd. “Het Team High Tech Crime van de politie roept de hulp van het publiek in om een man te identificeren die (ook) Nederlands spreekt”, aldus Takkenberg. Opsporing Verzocht is aanstaande dinsdagavond om 21:30 uur te zien op Nederland 1 en wordt woensdag rond 12:00 uur op Nederland 2 herhaald.

Bron: security.nl

Trojaans paard vervangt banksite door phishingpagina

Cybercriminelen zouden steeds vaker Trojaanse paarden gebruiken die actief worden zodra internetgebruikers de website van hun bank bezoeken. Al geruime tijd bestaan er banking Trojans, die bijvoorbeeld extra invoervelden tijdens het inloggen op de banksite tonen of transacties manipuleren, maar nu waarschuwt het Israëlische beveiligingsbedrijf RSA voor de “phish locker”.
Dit is een Trojaans paard dat actief wordt zodra een gebruiker een website bezoekt die op een vooraf gedefinieerde lijst staat vermeld. De malware sluit in dit geval het browservenster en laat de Windows Startknop verdwijnen. Vervolgens toont de Trojan, gebaseerd op de website die de gebruiker probeerde te bezoeken, een corresponderend webformulier, dat precies op de legitieme website lijkt.

Geavanceerd

In werkelijkheid gaat het om een phishingpagina die alle ingevulde gegevens doorstuurt naar de cybercriminelen. Phish lockers zijn dan ook minder geavanceerd dan banking Trojans. Die kunnen op een besmet systeem toetsaanslagen monitoren, documenten, certificaten en cookies stelen, en al deze informatie op verschillende manieren terugsturen, bijvoorbeeld via een versleuteld kanaal. De phish locker gebruikt hiervoor simpelere methodes, zoals e-mail.
Een ander verschil met banking Trojans is de mate van activiteit. Banking Trojans zijn tijdens het browsen vaak continu in de achtergrond actief, terwijl de phish locker de browser juist sluit en dan de gegevens pas steelt. Zodra de informatie naar de criminelen is verstuurd blijft het programma inactief en voert het verder geen schadelijke activiteiten uit, waardoor de gebruiker de controle weer terugkrijgt, aldus RSA.

Gebieden

“Het is vrij interessant om dit soort Trojaanse paarden te zien, die in vergelijking met de meeste banking Trojans zeer simpel zijn. Het is nog interessanter dat ze in bepaalde gebieden verschijnen waar de veiligheid van internetbankieren vaak erg geavanceerd is”, aldus het beveiligingsbedrijf. De phish lockers werden begin dit jaar in Latijns-Amerika gezien, maar wat de nieuwe locaties zijn laat RSA niet weten.

Bron: Security.nl

Virus vermomt zich als Google Chrome in Windows Register

Een truc die cybercriminelen toepassen om malware te verspreiden wordt nu ook gebruikt om de kwaadaardige programma’s in het Windows Register te verbergen. Het gaat om de zogeheten RTLO-truc. RTLO staat voor Right-to-Left-Override en zorgt ervoor dat via een speciaal unicode karakter de volgorde van karakters van een bestandsnaam kan worden omgedraaid. Hierdoor wordt SexyPictureGirlAl[RTLO]gpj.exe in Windows als SexyPictureGirlAlexe.jpg weergegeven.

De Sirefef malware gebruikt dit unicode karakter om zich in het Windows Register te verstoppen, waar het zich als een registersleutel van Google Chrome voordoet. Het gaat om de sleutel “gupdate”, die identiek lijkt aan de Google Update Service. Wordt de registerwaarde van Sirefef zonder unicode-ondersteuning bekeken, dan wordt de werkelijke naam zichtbaar.
“Dit laat weer een gecoördineerde poging van malware zien om zichzelf in het zicht te verbergen door zich als iets anders voor te doen”, aldus Raymond Roberts van het Microsoft Malware Protection Center.

Bron: Security.nl