Beveiligingnieuws Logo

Onze partners

Centurion

PG Security Systems

RoSecure

VVNL

20face

ARAS

Akuvox

G4S

SMC Alarmcentrale

Eagle Eye Networks

i-Pro

Top Security

NIBHV

HD Security

Masset Solutions

Add Secure

ADI

Uniview

VBN

Multiwacht

Regio Control Veldt

NetworxConnect

Advancis

Alphatronics

Lobeco

Paraat

Dero Security Products

Avigilon Alta

Secusoft

EAL

Sequrix

Seris

CSL

Hanwha Vision Europe

Bydemes

Explicate

SmartCell

Seagate

IDIS

VEB

GFT

2N

Securitas

Crown Security Services

DZ Technologies

VAIBS

Kiwa

Unii

Eizo

CardAccess

BHVcertificaat.online

Nimo Dog Security

Optex

Paxton

Trigion

ASSA ABLOY

HID

VideoGuard

Ajax Systems

Brivo

Bosch Security Systems

JMB Groep

Nimo Drone Security

SmartSD

De Beveiligingsjurist

Gold-IP

Alarm Meldnet

Traka ASSA ABLOY

Connect Security

Nenova

Hikvision

Milestone

SOBA

OSEC

Service Centrale Nederland

Genetec

CDVI

ASIS

Oribi ID Solutions

Zo wordt uw computer geïnfecteerd met malware

15 juni 2012
Redactie
12:31

Met de perikelen rond LinkedIn zijn er weer kansen voor cybercriminelen. Bart Blaze legt uit hoe een mogelijke aanval op uw systeem in zijn werk zou kunnen gaan.

Is dit het perfecte recept voor een cybercrimineel?

  1. Hacken van de LinkedIn wachtwoord (en mogelijk gebruikers-) database.
  2. Verzenden van een e-mail naar alle e-mail adressen die verzameld zijn, die aandringt om zo snel mogelijke je LinkedIn inbox na te kijken.
  3. Een gebruiker klikt onwetend op de link.
  4. Een exploit (kwaadaardige code) wordt geladen. Malware wordt op het systeem geïnstalleerd en uitgevoerd.
  5. De computer van de gebruiker is nu een “zombie” en onderdeel van een botnet.

Stap 1 was reeds succesvol, want in het “To” en/of “CC” veld van onderstaande e-mail staan zo’n 100 ontvangers. Hieronder een voorbeeld van de frauduleuze e-mail:

LinkedIn mail
Herinnering van LinkedIn. Je hebt een nieuw bericht!

Onderwerpen van deze e-mail kunnen zijn: “Relationship LinkedIn Mail‏”, “Communication LinkedIn Mail‏” of “Urgent LinkedIn Mail‏”. Uiteraard kan het onderwerp van de e-mail verschillen. Stap 1 en stap 2 zijn reeds voltooid. Nu dient deze cybercrimineel enkel nog te wachten tot iemand op de link klikt.

Veronderstel dat iemand op de link klikt. Wat zou er vervolgens gebeuren? Dit hangt af van de versie van onderstaande programma’s die mogelijk op je computer geïnstalleerd staan. Adobe Reader en Java zijn hiervan bijvoorbeeld de meest misbruikte programma’s.

In sommige gevallen zal de browser bij aan aanval simpelweg crashen. Mogelijk gebeurt er gewoonweg niets. De kans is aanwezig dat de exploit uitgevoerd wordt en je systeem heeft geïnfecteerd. In dit artikel gaan we de specifieke Adobe Reader exploit bekijken. Hieronder een screenshot van Process Explorer. Met deze tool kunnen we nagaan wat er precies aan de hand is.

Process Explorer
De aanduidingen in het groen wijzen dat een nieuw proces gestart wordt

Wat is er precies gaande? Zoals je kan aflezen in bovenstaande screenshot, worden er onder het proces van Adobe Reader enkele andere processen gestart. Deze processen zijn malware en zijn dus je computer aan het infecteren.

Het PDF bestand heeft verschillende uitvoerbare bestanden ingewerkt. Dit wil dus zeggen dat onder het proces van Adobe Reader andere (kwaadaardige) processen kunnen worden gestart, zoals hierboven aangegeven. Mogelijk krijg je zelfs volgende melding:

Foutboodschap van Adobe Reader
Foutboodschap van Adobe Reader. Er is een probleem opgetreden en Adobe moet worden afgesloten.

Nadat er op OK wordt geklikt, ziet alles er schijnbaar in orde uit. Helaas is niets minder waar. De computer is nu geïnfecteerd. Stap 3 en 4 zijn nu ook voltooid. De gebruiker heeft op de link geklikt, de exploit is geladen en malware is op je computer geïnstalleerd.

Nu is het de beurt aan de laatste stap, stap 5. Nadat de malware is uitgevoerd, zal de computer geïnfecteerd zijn met de Zeus malware. Zeus is een Trojaans virus, welke onder andere bankgegevens kan stelen, maar ook inloggegevens van bijvoorbeeld Facebook, Hotmail enzovoort.

Conclusie

Het is belangrijk om je computer te patchen of, met andere woorden, up-to-date te houden en bij te werken met de laatste software versies.

De volgende programma’s dienen op tijd en terstond bijgewerkt te worden:
Adobe, Java, maar vergeet ook niet VLC en Windows Media Player. Tegenwoordig worden deze automatisch bijgewerkt, maar aangeraden wordt om toch zelf vaak na te kijken of er geen nieuwe versies (patches) beschikbaar zijn.

Dit beperkt zich vanzelfsprekend niet enkel tot bovenstaande programma’s, maar ook je besturingssysteem dient bijgewerkt te worden. Vergeet ook niet om steeds je browser bij te werken en de plugins of add-ons die je hebt geïnstalleerd. Indien mogelijk, vermijd het gebruik van Adobe en Java. Een alternatief voor Adobe is bijvoorbeeld Sumatra PDF. Vergeet natuurlijk niet om deze ook up-to-date te houden!

Uiteindelijk dien je een geactiveerde en bijgewerkte versie van een Antivirus programma te installeren. Deze vermindert drastisch de kans dat je computer geïnfecteerd raakt met malware.

Door: Bart Blaze – Malware Research

Deel dit artikel via:

Vlog 9

Premium partners

Seagate

Suricat

Videoguard

SequriX

Wordt een partner