Met de perikelen rond LinkedIn zijn er weer kansen voor cybercriminelen. Bart Blaze legt uit hoe een mogelijke aanval op uw systeem in zijn werk zou kunnen gaan.

Is dit het perfecte recept voor een cybercrimineel?

1. Hacken van de LinkedIn wachtwoord (en mogelijk gebruikers-) database.
2. Verzenden van een e-mail naar alle e-mail adressen die verzameld zijn, die aandringt om zo snel mogelijke je LinkedIn inbox na te kijken.
3. Een gebruiker klikt onwetend op de link.
4. Een exploit (kwaadaardige code) wordt geladen. Malware wordt op het systeem geïnstalleerd en uitgevoerd.
5. De computer van de gebruiker is nu een “zombie” en onderdeel van een botnet.

Stap 1 was reeds succesvol, want in het “To” en/of “CC” veld van onderstaande e-mail staan zo’n 100 ontvangers. Hieronder een voorbeeld van de frauduleuze e-mail:

Herinnering van LinkedIn. Je hebt een nieuw bericht!

Onderwerpen van deze e-mail kunnen zijn: “Relationship LinkedIn Mail‏”, “Communication LinkedIn Mail‏” of “Urgent LinkedIn Mail‏”. Uiteraard kan het onderwerp van de e-mail verschillen. Stap 1 en stap 2 zijn reeds voltooid. Nu dient deze cybercrimineel enkel nog te wachten tot iemand op de link klikt.

Veronderstel dat iemand op de link klikt. Wat zou er vervolgens gebeuren? Dit hangt af van de versie van onderstaande programma’s die mogelijk op je computer geïnstalleerd staan. Adobe Reader en Java zijn hiervan bijvoorbeeld de meest misbruikte programma’s.

In sommige gevallen zal de browser bij aan aanval simpelweg crashen. Mogelijk gebeurt er gewoonweg niets. De kans is aanwezig dat de exploit uitgevoerd wordt en je systeem heeft geïnfecteerd. In dit artikel gaan we de specifieke Adobe Reader exploit bekijken. Hieronder een screenshot van Process Explorer. Met deze tool kunnen we nagaan wat er precies aan de hand is.

De aanduidingen in het groen wijzen dat een nieuw proces gestart wordt

Wat is er precies gaande? Zoals je kan aflezen in bovenstaande screenshot, worden er onder het proces van Adobe Reader enkele andere processen gestart. Deze processen zijn malware en zijn dus je computer aan het infecteren.

Het PDF bestand heeft verschillende uitvoerbare bestanden ingewerkt. Dit wil dus zeggen dat onder het proces van Adobe Reader andere (kwaadaardige) processen kunnen worden gestart, zoals hierboven aangegeven. Mogelijk krijg je zelfs volgende melding:

Foutboodschap van Adobe Reader. Er is een probleem opgetreden en Adobe moet worden afgesloten.

Nadat er op OK wordt geklikt, ziet alles er schijnbaar in orde uit. Helaas is niets minder waar. De computer is nu geïnfecteerd. Stap 3 en 4 zijn nu ook voltooid. De gebruiker heeft op de link geklikt, de exploit is geladen en malware is op je computer geïnstalleerd.

Nu is het de beurt aan de laatste stap, stap 5. Nadat de malware is uitgevoerd, zal de computer geïnfecteerd zijn met de Zeus malware. Zeus is een Trojaans virus, welke onder andere bankgegevens kan stelen, maar ook inloggegevens van bijvoorbeeld Facebook, Hotmail enzovoort.

Conclusie

Het is belangrijk om je computer te patchen of, met andere woorden, up-to-date te houden en bij te werken met de laatste software versies.

De volgende programma’s dienen op tijd en terstond bijgewerkt te worden:
Adobe, Java, maar vergeet ook niet VLC en Windows Media Player. Tegenwoordig worden deze automatisch bijgewerkt, maar aangeraden wordt om toch zelf vaak na te kijken of er geen nieuwe versies (patches) beschikbaar zijn.

Dit beperkt zich vanzelfsprekend niet enkel tot bovenstaande programma’s, maar ook je besturingssysteem dient bijgewerkt te worden. Vergeet ook niet om steeds je browser bij te werken en de plugins of add-ons die je hebt geïnstalleerd. Indien mogelijk, vermijd het gebruik van Adobe en Java. Een alternatief voor Adobe is bijvoorbeeld Sumatra PDF. Vergeet natuurlijk niet om deze ook up-to-date te houden!

Uiteindelijk dien je een geactiveerde en bijgewerkte versie van een Antivirus programma te installeren. Deze vermindert drastisch de kans dat je computer geïnfecteerd raakt met malware.

Door: Bart Blaze – Malware Research