Captain Kirk

Phishing is nog altijd de voornaamste oorzaak dat Google-accounts worden gekaapt, zo zegt Google aan de hand van onderzoek dat het samen met de universiteit van Californië, Berkeley uitvoerde. Van maart 2016 tot en met maart 2017 werden verschillende marktplaatsen van cybercriminelen geanalyseerd om te kijken hoe aanvallers wachtwoorden andere gevoelige gegevens stelen. Op deze manier kon Google 788.000 inloggegevens identificeren die via keyloggers waren buitgemaakt, 12 miljoen inloggegevens die via phishing waren gestolen en 3,3 miljard inloggegevens die door datalekken bij derde partijen op straat waren komen te liggen. In het geval van de datalekken bleek 12 procent van de records een Gmail-adres als gebruikersnaam en wachtwoord te bevatten. Zeven procent van deze wachtwoorden werd door de gebruikers ook voor hun Gmail-adres gebruikt en was nog steeds geldig. Als het gaat om phishing en keyloggers ligt het succespercentage voor een geldig wachtwoord tussen de 12 en 25 procent. Google stelt dat alleen een wachtwoord zelden genoeg is om toegang tot een Google-account te krijgen. Aanvallers proberen daarom steeds meer gegevens te verzamelen waarmee Google de identiteit van een accounthouder kan verifiëren. Zo verzamelde 82 procent van de phishingtools en 74 procent van de keyloggers het ip-adres en locatie van van de gebruiker, terwijl 18 procent van de tools telefoonnummers en informatie over het apparaat verzamelt. Aan de hand van het relatieve risico voor gebruikers stelt Google dat phishing de grootste dreiging vormt, gevolgd door keyloggers en datalekken bij derde partijen. De informatie die de onderzoekers ontdekten zijn door de internetgigant gebruikt om 67 miljoen Google-accounts te beschermen voordat aanvallers daar misbruik van konden maken. Afsluitend geeft Google het advies aan gebruikers om hun account met aanvullende maatregelen te beschermen, zoals het inschakelen van tweefactorauthenticatie. bron: security.nl

De zakelijke beveiligingsoplossing van Microsoft genaamd Windows Defender Advanced Threat Protection (ATP) gaat ook anti-virussoftware van derde partijen integreren om zo malware op Android-, Linux-, macOS- en iOS-apparaten te kunnen detecteren. Dat heeft Microsoft bekendgemaakt. Op dit moment werkt de softwaregigant samen met drie anti-virusbedrijven: Bitdefender, Lookout en Ziften. De oplossingen van deze bedrijven zullen binnen Windows Defender ATP worden geïntegreerd, zodat ook andere platformen kunnen worden gescand. Via de Windows Defender ATP console is het vervolgens mogelijk om de status van deze andere platformen en apparaten te monitoren. Microsoft zegt dat de samenwerking met Bitdefender, Lookout en Ziften de eerste van verschillende partnerschappen is. De integratie van Bitdefender is nu in de Public Preview van de beveiligingssoftware te testen. Lookout en Ziften zullen binnenkort volgen. Windows Defender ATP, dat vorig jaar maart werd aangekondigd, moet bedrijven volgens Microsoft tegen geavanceerde dreigingen beschermen. bron: security.nl

De beveiligingssoftware van anti-malwarebedrijf Malwarebytes heeft de Coinhive-cryptominer 248 miljoen keer in een enkele maand geblokkeerd, zo laat het bedrijf in een blogposting en rapport (pdf) weten. De Coinhive-cryptominer is een stukje JavaScript-code dat in de browser draait en de rekenkracht van de computer gebruikt om cryptocurrencies zoals Monero te minen. Hiervoor voert de computer een cryptografische berekening uit. Eigenaren van websites die Coinhive willen gebruiken moeten hiervoor op hun website naar een JavaScript-bestand van Coinhive wijzen Dit bestand wordt vervolgens door de browser van bezoekers geladen, waarna de rekenkracht van hun computer wordt gebruikt voor het uitvoeren van de cryptografische berekening. Nagenoeg alle websites die van de Coinhive-cryptominer gebruikmaken vragen hiervoor geen toestemming aan gebruikers, zo liet securitybedrijf Palo Alto Networks onlangs nog weten. Malwarebytes besloot op 19 september om het domein coinhive.com bij gebruikers van de eigen beveiligingssoftware te blokkeren. Sindsdien wordt Coinhive dagelijks 8 miljoen keer geblokkeerd. "Wat neerkomt op 248 miljoen blocks in één maand", aldus onderzoeker Jerome Segura van Malwarebytes. Met name gebruikers in de Verenigde Staten, Spanje en Frankrijk bezoeken vaak websites die de Coinhive-cryptominer proberen te laden. Coinhive heeft inmiddels wel een nieuwe versie van de cryptominer gelanceerd die gebruikers expliciet om toestemming vraagt, maar de versie die geen toestemming vraagt wordt ook nog steeds ondersteund. bron: security.nl

Microsoft heeft een waarschuwing afgegeven voor aanvallen die gebruik maken van de DDE-feature in Microsoft Office. Dynamic Data Exchange (DDE) is een feature die aan oudere Windows-versies werd toegevoegd en nog steeds op allerlei plekken wordt gebruikt. De feature maakt het mogelijk om data van bijvoorbeeld een Excel-document in een Word-document te injecteren. In het geval het Excel-document wordt bijgewerkt zal dit ook meteen in het Word-document zichtbaar zijn. De DDE-feature maakt het echter ook mogelijk om in plaats van Excel een applicatie zoals cmd.exe of Powershell aan te roepen en daarmee kwaadaardige commando's uit te voeren. De functionaliteit wordt actief door cybercriminelen gebruikt om gebruikers met malware te infecteren. Anti-virusbedrijf McAfee maakte dinsdag nog melding van een dergelijke aanval. In een gisteren gepubliceerde security advisory stelt Microsoft dat aanvallers het slachtoffer wel eerst moeten overtuigen om de Protected Mode van Office uit te schakelen en door één of meer vensters heen te klikken voordat de aanval kan worden uitgevoerd. Volgens de softwaregigant moeten gebruikers dan ook alert zijn bij het openen van verdachte e-mailbijlagen. Beheerders en gebruikers kunnen daarnaast ook andere maatregelen nemen om dergelijke aanvallen tegen te gaan. Via verschillende aanpassingen aan het Windows Register kan de DDE-feature namelijk worden uitgeschakeld. Dit kan voor verschillende programma's zoals Excel, Outlook en Word worden gedaan. Gebruikers van de Windows 10 Fall Creator Update kunnen daarnaast de Windows Defender Exploit Guard gebruiken om DDE-gebaseerde malware blokkeren. bron: security.nl

Google gaat nieuwe beveiligingsmaatregelen aan Chrome toevoegen die gebruikers tegen ongewenste redirects moeten beschermen. Volgens de internetgigant komt het geregeld voor dat gebruikers onverwacht naar ongewenste content, zoals een nieuwe pagina, worden doorgestuurd. Scammers maken hier bijvoorbeeld misbruik van om internetgebruikers naar websites te leiden die stellen dat hun computers is geïnfecteerd en er een telefoonnummer moet worden gebeld om het probleem op te lossen. Google stelt dat deze redirects vaak van content van derde partijen afkomstig zijn en de eigenaar van de website hier helemaal niets van weet. Om dit probleem aan te pakken zal Chrome redirects afkomstig van third-party iframes gaan blokkeren. Gebruikers krijgen in dit geval een informatiebalk te zien. Alleen als de gebruiker zelfs met het frame bezig was wordt de redirect toegestaan. Ongewenste redirects doen zich niet alleen spontaan via iframes voor. Ook als gebruikers bijvoorbeeld een link openen kan er een redirect plaatsvinden. Sommige websites maken hier gebruik van door aangeklikte links in een nieuwe tab te openen, terwijl de hoofdpagina een andere pagina opent. Volgens Google wordt hiermee de pop-upblocker van Chrome omzeild. Daarom zal vanaf Chrome 65 ook dit gedrag worden geblokkeerd en er een informatiebalk verschijnen. Gebruikers kunnen zo ongestoord naar de bedoelde bestemming doorgaan. Als laatste zijn er redirects die veel lastiger zijn te detecteren. Het gaat dan bijvoorbeeld om websites die zich voordoen als afspeelknop of transparante overlays op websites, die alle clicks afvangen en nieuwe tabs of vensters openen. Ook deze redirects zullen vanaf januari door Chrome worden geblokkeerd. Google gaat eigenaren van websites daarnaast waarschuwen als dergelijke redirects op hun websites zijn aangetroffen, zodat er maatregelen genomen kunnen worden. Als de eigenaar niet in actie komt en het probleem 30 dagen ongemoeid laat zal Chrome het openen van nieuwe tabs en vensters blokkeren. bron: security.nl

Linux-systemen zijn kwetsbaar voor aanvallen via kwaadaardige usb-sticks waardoor een aanvaller met fysieke toegang tot een systeem een denial of service kan veroorzaken en mogelijk ook willekeurige code kan uitvoeren. De kwetsbaarheden bevinden zich in het usb-subssysteem van de Linux-kernel. De beveiligingslekken werden gevonden door onderzoeker Andrey Konovalov, die zijn bevindingen op de Open Source Software Security-mailinglist rapporteerde. De 14 beveiligingslekken waar Konovalov het in zijn e-mail over heeft zijn inmiddels verholpen. De onderzoeker zegt dat er echter nog zo'n 35 soortgelijke kwetsbaarheden zijn die op een update wachten. "De meeste beveiligingslekken betreffen een denial of service, maar een aantal kan mogelijk worden gebruikt voor het uitvoeren van code in de kernel", zo laat Konovalov aan The Register weten. bron: security.nl

Volgende week dinsdag verschijnt Firefox 57 en de browser zal voor het eerst permanente trackingbescherming ondersteunen, zo meldt webontwikkelaar Soeren Hentzschel. Trackingbescherming kan advertenties, analytics-trackers en knoppen voor het delen van content op social media blokkeren. De optie is sinds Firefox 42 aanwezig, maar alleen in de Private Browsing-mode van de browser. Met Firefox 57 kunnen gebruikers het ook in de normale modus inschakelen, zodat er altijd van trackingbescherming gebruik wordt gemaakt. In 2015 liet Mozilla nog weten dat trackingbescherming de laadtijd van websites met 44 procent vermindert. Gebruikers moeten de optie wel zelf voor de normale modus inschakelen. Alleen voor de Private Browsing-mode blijft die standaard ingeschakeld staan. Gebruikers kunnen verder zelf aangeven welke blocklists ze willen gebruiken voor het blokkeren van trackers. bron: security.nl

Printers van fabrikant Brother zijn kwetsbaar voor een dos-aanval via het internet waardoor de webserver ontoegankelijk wordt en er niet meer kan worden geprint. Het probleem is aanwezig in alle Brother-printers met de Debut-webserver. Een aanvaller kan door het versturen van een enkel geprepareerd HTTP POST-verzoek de aanval uitvoeren, zo laat securitybedrijf Trustwave weten. Trustwave zegt dat het meerdere malen heeft geprobeerd om Brother over het probleem te informeren, maar dat een update nog altijd niet voorhanden is. Organisaties krijgen dan ook het advies om webtoegang tot de printer te beperken tot beheerders die het nodig hebben. Zolang de printer niet via internet bereikbaar is kan de aanval ook niet worden uitgevoerd. Onderzoekers van Trustwave ontdekten echter meer dan 16.000 kwetsbare Brother-printers die via internet toegankelijk waren. "Sommige mensen doen denial of service-aanvallen af als alleen overlast, maar ze kunnen middelen belasten en productiviteit bij organisaties verminderen", aldus het securitybedrijf. bron: security.nl

Microsoft heeft standaarden gemaakt die voor 'zeer veilige' Windows 10-systemen moeten zorgen. De standaarden zijn bedoeld voor algemene desktops, laptops en tablets waarop de Windows 10 Fall Creators Update is geïnstalleerd. Dit is de grote Windows 10-update die vorige maand verscheen. Systemen die aan de standaarden voldoen kunnen een 'zeer veilige ervaring' bieden, aldus de softwaregigant. De standaarden beschrijven minimale eisen voor hardware, virtualisatie en firmware. Zo moet het systeem van de nieuwste gecertificeerde processor van AMD of Intel zijn voorzien en over een Trusted Platform Module (TPM) versie 2.0 beschikken, alsmede aan de Trustworthy Computing Group (TCG) specificaties voldoen. Verder stelt Microsoft dat er minimaal 8GB werkgeheugen aanwezig moet zijn en het systeem bootverificatie moet kunnen uitvoeren, bijvoorbeeld via Intel Boot Guard of AMD Hardware Verified Boot. In het geval van de firmware moet het systeem van de Unified Extension Firmware Interface (UEFI) versie 2.4 gebruikmaken en de Windows UEFI Firmware Capsule Update specificatie voor het updaten van firmware ondersteunen. bron: security.nl

Google heeft een belangrijke update voor de desktopversie van Chrome uitgebracht, die onder andere een ernstige kwetsbaarheid verhelpt. Via dergelijke beveiligingslekken kan een aanvaller willekeurige code op het onderliggende systeem uitvoeren. Alleen het bezoeken van bijvoorbeeld een gehackte website of kwaadaardige pagina is in dit geval voldoende. Er is geen verdere interactie van gebruikers vereist. Ernstige kwetsbaarheden in de browser worden zelden door externe onderzoekers aan Google gerapporteerd. Zo is er in 2016 geen enkel ernstig beveiligingslek in de desktopversie van Chrome gemeld. In 2015 kwamen er twee ernstige kwetsbaarheden voor en een jaar eerder drie. Dit jaar werd er in maart een ernstig beveiligingslek in Chrome gepatcht. De nu gepatchte ernstige kwetsbaarheid bevond zich in QUIC, een door Google ontwikkeld netwerkprotocol. Onderzoeker Ned Williamson ontdekte via fuzzing een zogeheten 'stack buffer overflow' in QUIC waardoor het uitvoeren van willekeurige code mogelijk is, zo laat hij via Twitter weten. De beloning die de onderzoeker voor zijn melding zal krijgen is nog niet bekendgemaakt. Chrome 62.0.3202.89 voor Linux, Mac en Windows verhelpt daarnaast een kwetsbaarheid die als 'high' is bestempeld. Via dit soort kwetsbaarheden zou een aanvaller in het ergste geval code binnen de context van de browser kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. Updaten naar de nieuwste Chrome-versie gaat op de meeste systemen automatisch. bron: security.nl

Microsoft heeft verschillende updates voor Windows 7 en 8.1 wegens problemen offline gehaald. De updates waren juist bedoeld om problemen te verhelpen die door de beveiligingsupdates van oktober waren veroorzaakt. Op 10 oktober bracht Microsoft verschillende beveiligingsupdates uit. Deze updates veroorzaakten bij sommige programma's voor problemen als er xls-bestanden werden geïmporteerd of gemaakt. Gebruikers kregen dan de melding "Unexpected error from external database driver". Tal van gebruikers klaagden op het forum van Microsoft over de problemen. Vorige week kwam Microsoft daarop met de November 2017 Rollup Updates KB4052234 voor Windows 7, KB4052233 voor Windows 8.1 en KB4052235 voor Server 2012. Deze optionele updates, die gebruikers handmatig moesten downloaden omdat ze niet via Windows Update werden verspreid, moesten de ontstane problemen verhelpen. Ze introduceerden echter nieuwe problemen, bijvoorbeeld bij het sluiten van applicaties of het starten van Internet Explorer. Gisteren werd duidelijk dat Microsoft de November-updates zonder enige aankondiging offline heeft gehaald, alsmede de KB-artikelen waarin ze worden genoemd, zo melden Günter Born, Woody Leonhard en WinFuture. bron: security.nl

De afgelopen maanden is er een stijging van het aantal Windows-computers dat in aanraking met de Qakbot en Emotet-malware is gekomen, zo laat Microsoft vandaag weten. De beveiligingssoftware van Microsoft zag de malware op tienduizenden Windows-computers voorbijkomen. Beide malware-exemplaren kunnen inloggegevens voor internetbankieren stelen en ander vertrouwelijke data buitmaken, zoals toetsaanslagen. Om Qakbot en Emotet te verspreiden maken criminelen gebruik van e-mailbijlagen. Eenmaal actief op een computer kan de malware toegankelijke netwerkschijven en mappen infecteren, alsmede aangesloten usb-sticks. Op deze manier kan de infectie zich verder binnen een netwerk verspreiden. Volgens Microsoft hebben Qakbot en Emotet het zowel op eindgebruikers als bedrijven voorzien, waarbij Emotet vooral thuisgebruikers aanvalt en Qakbot juist op bedrijfscomputers wordt waargenomen. In een vandaag gepubliceerd artikel geeft Microsoft advies om de verspreiding van de malware op netwerken te voorkomen en die uiteindelijk ook van getroffen systemen te verwijderen. Daarbij speelt naast techniek ook bewustzijn van werknemers een belangrijke rol. "Het onderwijzen van personeel over social engineering en internetveiligheid, en het trainen van ze om verdachte e-mails of websites te rapporteren, kan enorm helpen om netwerken tegen cyberaanvallen te beschermen", aldus Microsofts Keith Abluton. bron: security.nl

Een veelgebruikte standaard voor het versleutelen van 'electronic-design' intellectueel eigendom, zoals de layout van een chip of een verzameling van productie-instructies, bevat verschillende kwetsbaarheden waardoor aanvallers het intellectueel eigendom kunnen achterhalen en andere aanvallen kunnen uitvoeren. Dat hebben onderzoekers van de Universiteit van Florida ontdekt. Het gaat om de P1735 IEEE-standaard die methodes omschrijft voor het versleutelen van electronic design intellectueel eigendom, alsmede het beheer van de toegangsrechten tot dergelijk intellectueel eigendom. Een groot aantal fabrikanten maakt hiervan gebruik om hun hardware en software te beschermen. Moderne hardware bestaat uit onderdelen van allerlei fabrikanten, die via de standaard hun intellectueel eigendom voor de andere kunnen beschermen. De onderzoekers ontdekten echter zeven verschillende kwetsbaarheden waardoor verschillende aanvallen mogelijk zijn. Zo kan een aanvaller in platte tekst toegang het intellectueel eigendom krijgen. Een andere aanval maakt het mogelijk om zonder kennis van de eigenaar een hardwarematig Trojaans paard aan versleuteld intellectueel eigendom toe te voegen. Ook kan een aanvaller door de zwakke encryptie en andere ontwerpfouten kritieke veiligheidsfuncties analyseren. Zogeheten electronic design automation (EDA) tools maken van de standaard gebruik. De kwetsbaarheden in de standaard kunnen via EDA-tools worden aangevallen. De onderzoekers doen in hun onderzoeksrapport (pdf) verschillende aanbevelingen voor ontwikkelaars van EDA-software, zodat die de problemen kunnen verhelpen. Gebruikers krijgen het advies om hun EDA-software te updaten zodra er een update beschikbaar is, zo meldt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. bron: security.nl

Op internet is ophef ontstaan over de software die wordt meegeleverd met het G2 mechanische toetsenbord van fabrikant Mantistek. Verschillende gebruikers melden dat de "Mantistek cloud driver" informatie over toetsaanslagen onversleuteld via http naar een ip-adres van Alibaba.com verstuurt. Op Reddit melden sommige gebruikers dat de software inderdaad over een feature beschikt die het verzamelen van keyboardstatistieken inschakelt. Gebruikers zouden hier echter zelf toestemming voor moeten geven. Via de informatie zou een 'heatmap' van het keyboardgebruik worden gemaakt. Of de driver nu zonder toestemming deze gegevens verzamelt of dat er iets anders aan de hand is, is onduidelijk. Mantistek heeft nog niet op de ophef gereageerd en er zijn vooralsnog zeer beperkte analyses online verschenen. bron: security.nl

Aanvallers zijn erin geslaagd de populaire streamingsite Crunchyroll te kapen en te gebruiken voor het verspreiden van malware. Crunchyroll laat anime, manga en Aziatische dramaseries zien. Het heeft meer dan 20 miljoen geregistreerde gebruikers, waaronder meer dan 1 miljoen betalende gebruikers. Volgens cijfers van Alexa staat het op de 721ste plek van meest bezochte websites op internet en staat het in de Verenigde Staten zelfs op plek 228. Bezoekers van de website kregen gisteren de melding te zien of ze de "Cruncyroll Viewer" wilden downloaden, wat een nieuwe mediaspeler zou zijn. In werkelijkheid ging het om malware. Een backdoor, zo stelt beveiligingsonderzoeker Bart Blaze. In een verklaring laat moederbedrijf Ellation weten dat aanvallers toegang tot de Cloudflare-configuratie van de website wisten te krijgen. Cloudflare bevindt zich tussen de website en bezoekers en stuurt verkeer normaliter door naar de Crunchyroll-servers. De aanvallers wijzigden de configuratie zodat bezoekers naar een andere server werden doorgestuurd die de malware aanbood. Volgens Crunchyroll was de aanval alleen tegen de Cloudflare-laag gericht en hebben de gegevens van gebruikers geen risico gelopen. Slachtoffers die de malware hebben gedownload en geopend kunnen die via een aantal stappen handmatig verwijderen, aldus het advies van de website. Hoe de aanvallers toegang tot de Cloudflare-configuratie wisten te krijgen is niet bekendgemaakt. bron: security.nl

Aanvallers zijn erin geslaagd verschillende door VerticalScope beheerders forums te hacken, waaronder Toyotanation.com en Jeepforum.com, en de data van tenminste 2,7 miljoen gebruikers te stelen. Dat laat securitybedrijf Holden Security tegenover it-journalist Brian Krebs weten. Holden Security ontdekte dat de gebruikersgegevens door cybercriminelen worden verhandeld, nadat die via een webshell toegang tot de data hadden gekregen. VerticalScope beheert allerlei internetgemeenschappen. Naar eigen zeggen gaat het om meer dan 600 websites. Vorig jaar wisten aanvallers bij VerticalScope de data van 45 miljoen gebruikersaccounts te stelen. Het bedrijf bevestigt dat het opnieuw slachtoffer van een hack is geworden. Het zou in totaal om zes websites gaan. Naast de twee eerder genoemde auto-forums gaat het ook om watchuseek.com, een forum voor zakhorlogeverzamelaars. De naam van de andere drie forums zijn niet bekendgemaakt. bron: security.nl

Beste Luca, Excuus, we hebben je topic misschien over het hoofd gezien. Heb je nog steeds problemen met deze pc en wens je nog steeds hulp of advies?

Als kleine aanvulling: hoe staat het met het stof in de computer. Wanneer het systeem ziet dat het niet goed gekoeld kan worden, met name de processor, start deze ook niet door.

Het Tor Project heeft een belangrijke update voor Tor Browser op Linux en macOS uitgebracht die een bug verhelpt waardoor het ip-adres van gebruikers kon lekken. De bug bevond zich in Firefox en deed zich voor bij het verwerken van url's die beginnen met file://. Als de gebruiker een speciaal geprepareerde url zou openen kon het besturingssysteem direct verbinding met de server maken, waarbij Tor Browser werd omzeild. Het probleem speelde niet bij de Windows-versie en ook niet bij gebruikers van het privacybesturingssysteem Tails en de gesandboxte versie van Tor Browser. De bug werd op donderdag 26 oktober door onderzoeker Filippo Cavallarin aan het Tor Project gerapporteerd. In samenwerking met Mozilla werd er de volgende dag een oplossing ontwikkeld. Deze oplossing bleek het lek echter gedeeltelijk te verhelpen. Afgelopen dinsdag 31 oktober werd er een aanvullende update ontwikkeld waarmee het lek wordt voorkomen. Het gaat hier om een 'workaround', die als neveneffect heeft dat file:// url's in bepaalde gevallen niet goed meer werken. Voor zover bekend is de kwetsbaarheid niet actief gebruikt om Tor Browser-gebruikers mee te ontmaskeren, zo laat het Tor Project verder weten. Gebruikers krijgen het advies om te updaten naar Tor Browser 7.0.9.

Er is een nieuwe versie van de wachtwoordmanager Dashlane verschenen die nu ook Linux en Chromebooks ondersteunt, alsmede Microsoft Edge. Daarnaast is het met Dashlane 5 niet meer verplicht om de desktopsoftware te installeren om het binnen de browser te gebruiken. De wachtwoordmanager kan namelijk ook als aparte browser-extensie worden gedownload. Verder is Dashlane nu in het Nederlands beschikbaar. Van de wachtwoordmanager is zowel een gratis als betaalde versie beschikbaar. Naast de aankondiging van Dashlane 5 heeft het bedrijf ook bekendgemaakt dat het een 'bug bounty' programma is gestart. Hackers en onderzoekers die kwetsbaarheden in de software, programmeerinterfaces en website kunnen die tegen een beloning rapporteren. Vorig jaar ontdekte Google-onderzoeker Tavis Ormandy nog een kwetsbaarheid in Dashlane waardoor een aanvaller wachtwoorden, cookies, gebruikersdata en andere inloggegevens had kunnen stelen. Dashlane heeft naar eigen zeggen 9 miljoen gebruikers en is bij 7.000 bedrijven in gebruik. bron: security.nl

Criminelen maken gebruik van specifieke Google-zoekresultaten om malware te verspreiden die gegevens voor internetbankieren steelt, zo laten onderzoekers van Cisco in een analyse weten. Als internetgebruikers op bepaalde sleutelwoorden in Google zoeken krijgen ze zoekresultaten te zien die naar gehackte servers en websites wijzen die malware aanbieden. Het gaat dan om zoekopdrachten als "nordea sweden bank account number" en "how to cancel a cheque commonwealth bank". Om ervoor te zorgen dat de kwaadaardige zoekresultaten bovenaan de resultaten bij Google komen hacken de aanvallers verschillende servers en websites en voorzien die van verschillende sleutelwoorden. De pagina's worden door Google op deze sleutelwoorden geïndexeerd en zodra internetgebruikers hierop zoeken krijgen ze de kwaadaardige zoekresultaten te zien. De zoekresultaten wijzen gebruikers uiteindelijk door naar een Word-document met kwaadaardige macro's. Als gebruikers de macro's inschakelen wordt de Zeus Panda banking Trojan geïnstalleerd. Deze malware steelt gegevens voor internetbankieren en andere gevoelige inloggegevens. Om detectie door onderzoekers te voorkomen controleert de malware eerst of die niet in een virtual machine of sandbox draait, of dat er analysetools zoals Wireshark draaien. Zodra de malware de aanwezigheid van Sandboxie, VirtualBox, Parellels, VMware, VirtualPC of andere virtualisatiesoftware detecteert, verwijdert die zichzelf van het systeem. Volgens Cisco laat de aanval zien dat aanvallers continu nieuwe manieren vinden om gebruikers malware te laten installeren. bron: security.nl

Een usb-driver van het bedrijf Savitech waar audiofielen en fabrikanten van high-end muziekapparatuur gebruik van maken installeert stilletjes een rootcertificaat op systemen, waardoor het risico op man-in-the-middle-aanvallen bestaat. Savitech biedt usb-drivers voor gespecialiseerde audio-apparatuur. Sommige versies van de Savitech-driver installeren stilletjes het SaviAudio-rootcertificaat in de Window-rootstore. Hierin staan alle rootcertificaten en certificaten die hieronder vallen, die door Windows en browsers zonder eigen rootstore worden vertrouwd, zo ontdekte securitybedrijf RSA. Een aanvaller die de privésleutel van het Savitech-rootcertificaat zou verkrijgen zou vervolgens man-in-the-middle-aanvallen op gebruikers kunnen uitvoeren waar het rootcertificaat is geïnstalleerd. Een aanvaller kan in dit geval netwerkverkeer ontsleutelen, malware laten installeren of zich als websites voordoen zonder dat er een waarschuwing in de browser verschijnt. Savitech stelt dat het certificaat werd gebruikt voor het signeren van drivers voor Windows XP en niet langer nodig is. De installatie van het rootcertificaat werd echter niet uit de driver-installatie voor nieuwere Windows-versies verwijderd. Volgens het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit zijn er geen aanwijzingen dat de privésleutel van het Savitech-rootcertificaat is gecompromitteerd, maar uit voorzorg krijgen gebruikers het advies om het certificaat te verwijderen. bron: security.nl

Een goede virusscanner moet niet alleen in staat zijn om malware te detecteren, maar ook om het te verwijderen. Aanleiding voor het Oostenrijkse testlab AV-Comparatives om 17 virusscanners en internet security suites voor eindgebruikers te testen op het verwijderen van malware van een al besmet systeem. Voor de test (pdf), die van februari tot oktober plaatsvond, werd er gewerkt met 40 verschillende malware-exemplaren. De test is bedoeld voor eindgebruikers die een infectie oplopen en een pakket zoeken om de malware te verwijderen. De virusscanners werden dan ook pas na de infectie op het systeem geïnstalleerd. Wanneer dit niet mogelijk bleek werd het systeem in veilige modus herstart. Als ook dit niet werkte werd er uitgeweken naar een 'rescue disk' van de anti-virusleverancier. Na de installatie werd er een volledige scan van het systeem uitgevoerd. AV-Comparatives herstartte hierna het systeem en controleerde handmatig of de malware en alle onderdelen waren verwijderd. Hiervoor konden de virusscanners verschillende punten krijgen. Hoe minder sporen er van de malware achterbleven des te hoger de score. Ook werd er gekeken naar de eenvoud waarmee de malware was te verwijderen. Als het systeem in veilige modus of via een rescue disk moest worden opgeschoond leverde dit een lagere score op. De virusscanners konden maximaal 100 punten voor het verwijderen van de malware scoren. Tencent komt met 96 punten als beste uit de bus, gevolgd door Bitdefender (93) en Kaspersky Lab (92). Seqrite zet met 61 punten de laagste score neer, waarna Fortinet (67) en Microsoft (70) volgen. Onlangs publiceerde het Duitse testlab AV-Test een soortgelijke test waarbij Kaspersky Lab en Bitdefender als beste presteerden. bron: security.nl

Onderzoekers van anti-virusbedrijf Kaspersky Lab hebben een Trojaans paard ontdekt dat bitcoin en andere cryptocurrency steelt met behulp van het clipboard op besmette computers. Het Trojaanse paard wordt CryptoShuffler genoemd en valt op door de manier waarop het geld van slachtoffers steelt. Gebruikers van cryptocurrency die een betaling willen doen of geld naar een andere wallet willen overmaken kopiëren hiervoor vaak het wallet-adres van de begunstigde en plakken dat vervolgens in een veld op de transactiepagina. Op dat moment bevindt het wallet-adres zich in het clipboard van de computer. CryptoShuffler monitort op besmette computers het clipboard en zodra de malware ziet dat een gebruiker een wallet-adres kopieert, verandert het dit adres. Als de gebruiker vervolgens het wallet-adres op de transactiepagina wil plakken, plakt hij het aangepaste wallet-adres en maakt zo geld naar de verkeerde partij over. De malware is al een jaar actief, maar Kaspersky Lab heeft er nu een analyse van gepubliceerd. Hoe Cryptoshuffler zich verspreidt is niet bekendgemaakt. Aan de hand van wallet-adressen die de malware gebruikt konden onderzoekers achterhalen dat het Trojaanse paard in een jaar tijd 23 bitcoins heeft gestolen, wat op het moment 129.000 euro is. Naast bitcoins zijn er ook andere cryptocurrencies gestolen, maar de waarde hiervan is met een paar duizend euro een stuk kleiner. Doordat wallet-adressen uit een lange reeks cijfers en letters bestaan, worden ze niet altijd door gebruikers gecontroleerd, aldus het anti-virusbedrijf. Cryptocurrency-gebruikers krijgen dan ook het advies om goed op het wallet-adres te letten bij het uitvoeren van transacties.

Onderzoekers hebben tal van kwetsbaarheden in een netwerkmonitor van Disney gevonden waardoor het mogelijk was om het apparaat op afstand volledig over te nemen of permanent te beschadigen. Het gaat om de 'Circle with Disney', een netwerkapparaat dat het internetgebruik van kinderen op een gegeven netwerk kan monitoren. Het apparaat kan draadloos worden gepaird met het wifi-netwerk en maakt het mogelijk om apparaten op het netwerk te beheren, zoals laptops, tablets en andere apparaten. Via een smartphone-app kan er voor elk gezinslid een apart profiel worden aangemaakt. Het profiel bepaalt welk websites en apps voor de gebruiker toegankelijk zijn en hoe lang hij of zij achter een scherm mag zitten. In het geval de opgegeven 'schermtijd' wordt overschreden worden de ouders gewaarschuwd. Onderzoekers van Cisco ontdekten in totaal 23 kwetsbaarheden waardoor het voor een aanvaller mogelijk was om op afstand netwerkverkeer te manipuleren, een backdoor te installeren, niet-gesigneerde firmware te installeren of het apparaat zelfs permanent te beschadigen. Op een schaal van 1 tot en met 10 wat betreft de ernst van een kwetsbaarheid waren 17 beveiligingslekken met een 9 of hoger beoordeeld. Na te zijn ingelicht hebben de ontwikkelaars een update ontwikkeld die automatisch onder gebruikers is uitgerold. bron: security.nl