Nul
(Afbeelding: foto Bestand via Wikimedia Commons)
Beveiligingsbedrijf McAfee is geblokkeerd toegang tot de malware die leek te worden gestuurd vanuit het eigen netwerk.
De malware werd gehost op een website van een derde, maar werd gedeeld via een domein dat is verbonden met McAfee ClickProtect, een e-mail protection-service die het bedrijf touts als “bescherm uw bedrijf tegen hacken.” De service is bedoeld om te beschermen tegen phishing, malware van links in e-mails, en te voorkomen dat gebruikers van het bezoeken van sites die bekend staan om het hoge risico.
Maar de kwaadaardige link werd alleen gevonden bij een Parijs-based security-onderzoeker, die gebruik maakt van de pseudo-handvat Benkow, gevonden en getweet van een malware-analyse rapport, dat onder de link.
De link doorgestuurd gebruikers door middel van het “cp.mcafee.com” domein en op de schadelijke Word-document.
Iedereen die gedownload en opende het kwaadaardig Word-document zou hebben blootgesteld aan de Emotet banking malware.
“Emotet werd op grote schaal verspreid via malspam campagnes met links naar gehackte sites die host zijn van een blanco Word document,” aldus Jerome Segura, leiden malware intelligence analist bij beveiligingsbedrijf Malwarebytes, in een e-mail.
“Bij het openen en het toestaan van macro’ s, de gebruiker zonder het te weten, wordt het downloaden gestart van de Emotet malware binaire, ook hersteld van een gecompromitteerde website,” hij zei.
(Afbeeldingen: ZDNet/CBS Interactive)
De malware maakt gebruik van een traditionele macro-enabled Word-document, vaak geleverd door een directe link of een e-mail, die, wanneer geopend en geactiveerd, zal de extra te downloaden van bestanden met behulp van een PowerShell script, met inbegrip van de Emotet malware binaire. Na het installeren van de malware telefoons thuis te zijn command and control server waar het zou sifon uit gevoelige gegevens, zoals de browser en e-mail wachtwoorden, die kan worden gebruikt voor het hacken van accounts en de overdracht van middelen. Security-onderzoeker Marcus Hutchins zei in een recent schrijven-up die de malware verbinding met de command-en control-server met behulp van hardcoded IP-adressen, maar het proxy ‘ s gebruikt om detectie te vermijden.
Voor zijn deel, McAfee zei dat het onderzoeken van de kwestie, maar hij zei ook dat de dienst “uitgevoerd zoals het ontworpen is.”
“In de vroege uren van Nov. 13, het web bestemming in kwestie had nog niet geïdentificeerd als een bron van malware-verspreiding,” zei een woordvoerder.
“Later op de dag, echter, het McAfee Global Threat Intelligence-service heeft inderdaad vastgesteld dat de web-eigendom als een bedreiging, de site veranderd de reputatie ranglijst van ‘laag risico’ en ‘hoog risico’ en daarna geblokkeerd McAfee klanten in staat om de site te bereiken,” de woordvoerder gezegd.
De woordvoerder zei dat tegen de tijd dat McAfee het research team werd zich bewust van de site van de status van een verzonden e-mail door ZDNet, de site was al geblokkeerd voor een bepaalde tijd.”
Maar dat hoeft niet op een lijn met onze versie van de gebeurtenissen. Kort tot McAfee zei dat de site geblokkeerd werd, de link was nog steeds actief en wordt gewezen op de schadelijke Word-document. Het is ook niet duidelijk over de reden waarom de vlag van de site als hoge risico ‘ s, maar nog steeds zou malware te downloaden.
McAfee was “nog steeds om de nauwkeurige chronologie’ van de gebeurtenissen, een woordvoerder gezegd.
Het is niet precies bekend hoe de koppeling kwam om — zoals als de koppeling is gemaakt door hackers om nietsvermoedende slachtoffers te verleiden tot het downloaden van malware, of als het was per ongeluk.
Een McAfee-woordvoerder zei dat het niet als een gevolg van “opzettelijke misbruik” van het systeem.
Maar hackers hebben opgevoerd tot hun gebruik van de Emotet malware in de afgelopen maanden, en ze steeds meer hun toevlucht te nemen tot het verzenden van zorgvuldig gemaakte e-mails en het inzetten van social engineering-technieken. De hackers achter de malware vaak voordoen als telefoon -, cel -, en internet-providers, en ze zou zich richten op doelen voornamelijk in de VS, UK en Canada, volgens een recente Trend Micro rapport.
Maar waarom de malware heeft weer een mysterie blijft. Microsoft heeft onlangs een beroep op enterprise klanten te helpen bij het uitroeien van de malware, die steeds meer in de hackers’ vizier.
Segura gewaarschuwd dat zelfs gebruikers met de bescherming van e-mail systemen, zoals bedrijven, kunnen nog steeds worden verleid.
“Gebruikers moeten oppassen voor ingekort of links omgezet en zelfs nog meer wanneer er kan worden aannames dat ze veilig zijn,” zei hij.
“Hetzelfde geldt voor handtekeningen toegevoegd aan de onderkant van een e-mail met de mededeling: ‘deze e-mail is gegarandeerd virus-vrij’ of iets dergelijks,” voegde hij eraan toe. “Niet alleen geeft het de gebruikers een vals gevoel van veiligheid, maar criminelen vaak ook toevoegen dergelijke berichten voor social engineering doeleinden.”
Neem Contact met mij goed
Zack Whittaker kan worden bereikt stevig Signaal en WhatsApp op 646-755-8849, en zijn PGP vingerafdruk voor e-mail is: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
Lees Meer
ZDNET ONDERZOEKEN
Gelekt TSA documenten onthullen in New York airport golf van gebrekkige beveiliging
AMERIKAANSE regering geduwd tech bedrijven om de hand over de source code
Bij de AMERIKAANSE grens: Gediscrimineerd, vastgehouden, gezocht, ondervroeg
Miljoenen klant van Verizon records blootgesteld in veiligheid te vervallen
Aan de schimmige tech makelaars dat levert de data voor de NSA
Binnen de wereldwijde terreur watchlist dat in het geheim schaduwen miljoenen
FCC-voorzitter gestemd voor het verkopen van uw browsegeschiedenis, dus hebben we gevraagd te zien zijn
Met een enkele aftappen om de AMERIKAANSE autoriteiten luisterden in op 3,3 miljoen telefoongesprekken
198 miljoen Amerikanen getroffen door de grootste ooit’ kiezer records lek
Groot-brittannië heeft doorgegeven ‘de meest extreme toezicht wet ooit voorbij in een democratie’
Microsoft zegt ‘geen bekende ransomware’ draait op Windows, 10 S, dus hebben we geprobeerd om te hacken
Uitgelekt document onthult de BRITSE plannen voor een bredere internet surveillance
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0