Captain Kirk

Zoekmachine Ask.com heeft gedurende een maand allerlei zoekopdrachten van gebruikers voor iedereen openbaar gemaakt. De Apache-statuspagina was niet afgeschermd en toonde allerlei zoekresultaten. De statuspagina hoort normaliter niet zomaar toegankelijk te zijn. De Duitse beveiligingsonderzoeker Hanno Böck ontdekte het probleem en waarschuwde Ask vorige maand al. "Het is onverantwoord van een zoekmachine om op een dergelijke manier de servers te configureren", zo liet hij tegenover het Duitse Golem weten. Inmiddels is de pagina niet meer toegankelijk. De zoekmachine Ask.com zit ook achter de gelijknamige omstreden toolbar, die door sommige experts als adware wordt bestempeld en meerdere keren is gebruikt voor het verspreiden van malware. bron: security.nl

Gebruikers van alle versies van Microsoft Office zijn gewaarschuwd voor een ernstig beveiligingslek in de kantoorsoftware dat sinds januari wordt aangevallen en waar nog geen update van Microsoft voor beschikbaar is. De nu ontdekte kwaadaardige Office-documenten gebruiken naast het Office-lek ook een Windows-lek dat nog niet is gepatcht. Mogelijk dat de aanvallers via dit lek hun rechten op het systeem verhogen. Door het openen van een kwaadaardig Office-document kan een aanvaller volledige controle over het systeem krijgen. Alle versies van Office zijn kwetsbaar, waaronder Office 2016 op Windows 10. Dat laat beveiligingsbedrijf McAfee weten. Zodra het document wordt geopend zal de exploit een hta-bestand downloaden. Hiermee kan een aanvaller willekeurige code op het systeem uitvoeren. Als de exploit succesvol is wordt het kwaadaardige Word-bestand gesloten en verschijnt er een ander document om het slachtoffer niets te laten vermoeden. De eerste aanvallen op het beveiligingslek dateren van januari dit jaar. Microsoft is ingelicht en werkt aan een beveiligingsupdate. Wanneer die zal verschijnen is nog onbekend. In de tussentijd krijg gebruikers het advies om geen Office-documenten van onbetrouwbare bronnen te openen en Office Protected View in te schakelen. De exploit zal dan namelijk niet werken. bron: security.nl

Quote: Alvast bedankt voor de goede raad! Graag gedaan

Aangezien er al een tijd niet gereageerd is ga ik er vanuit dat je probleem opgelost is. Hierbij sluit ik het topic. Indien je het topic weer open wilt hebben, laat mij dit dan even weten. Voor een nieuw probleem kun je altijd een nieuw topic starten.

Het geluid van Disney zou inderdaad aan de beveiliging kunnen liggen. Maar even iets anders. Wat voor Hotspotpunt gebruik je. Zolang je niet weet wie de hotspot aan biedt, zou ik voorzichtig zijn. Voor het zelfde geld heb je te maken met een man-in-the-middle. Oftwel, heb jij je internetverbinding maar kan ondertussen iemand vrolijk alles volgen en meekijken wat je via internet doet. Dus ook het lezen van je wachtwoorden en inlognamen cq codes. Ik raad je enige voorzichtigheid aan. Wat is overigens de reden van deze opstelling en niet voor een eigen internetaansluiting?

Aangezien er al een tijd niet gereageerd is ga ik er vanuit dat je probleem opgelost is. Hierbij sluit ik het topic. Indien je het topic weer open wilt hebben, laat mij dit dan even weten. Voor een nieuw probleem kun je altijd een nieuw topic starten.

Beste CRoelofs, hoe staat het met het probleem? Is het al opgelost. Zo niet, voer dan even het advies van Droske uit zodat hij je verder kan helpen.

Beste Grijzegeus, Is je probleem opgelost? Dan mag je dit topic afsluiten. Zo blijft het voor ons een beetje overzichtelijk. Is je probleem nog niet opgelost, laat het dan even weten.

Beste Wayke, Een van de meest voor de hand liggende oorzaken is het kanaal waarop je wifi-signaal wordt uitgezonden. Wanneer er in de buurt meerdere routers staan, kunnen deze elkaar storen. Wanneer je dit bij installeren niet hebt aangepast, staat deze nog op het standaard kanaal ingesteld. Aanpassen van het kanaal kan je probleem soms oplossen. Met de Android-tool "Wifi-Analyzer" kun je mooi zien hoeveel routers er in de buurt staan en welk kanaal het beste is voor je instellingen. Mijn advies is dus om dit eerst eens te proberen.

De meeste malware die voor Internet of Things-apparaten is ontwikkeld probeert systemen onopgemerkt over te nemen, maar onderzoekers hebben nu een exemplaar ontdekt dat slecht beveiligde IoT-apparaten opzettelijk beschadigt. De malware heeft het voorzien op Linux/BusyBox-gebaseerde IoT-apparaten die hun Telnet-poort hebben openstaan en via internet toegankelijk zijn. BrickerBot, zoals de malware wordt genoemd, maakt gebruik van veelvoorkomende gebruikersnamen en wachtwoorden om via Telnet in te loggen. Is de malware succesvol op het apparaat ingelogd, dan worden verschillende commando's uitgevoerd waardoor de opslag corrupt raakt, de internetverbinding verbroken wordt en alle bestanden op het apparaat gewist. Hierdoor wordt een permanente denial of service aan de kant van de gebruiker veroorzaakt, zo meldt beveiligingsbedrijf Radware. Inmiddels zijn er twee varianten van BrickerBot ontdekt. Wie er achter de aanvallen zit en wat zijn uiteindelijke doel is, is onbekend. bron: security.nl

Cybercriminelen versturen op dit moment allerlei versleutelde Word-documenten die computers met een keylogger proberen te infecteren. De documenten doen zich voor als een factuur en zijn met een wachtwoord beveiligd. Als gebruikers een Office-document met een wachtwoord beveiligen wordt het versleuteld, zo laat Microsoft weten. In het geval van de spamberichten, waar een Twitteraar genaamd Zenexer voor waarschuwde, is het wachtwoord toegevoegd. Als gebruikers het bestand openen en het wachtwoord invoeren verschijnt er een document dat drie andere documenten lijkt te bevatten. Het gaat echter om kwaadaardige embedded scriptbestanden. Zodra gebruikers op één van de zogenaamde documenten klikken krijgen ze de vraag of ze een scriptbestand willen uitvoeren. Wanneer de gebruiker hiermee akkoord gaat wordt de Ursniff-keylogger op het systeem geïnstalleerd, die allerlei toetsaanslagen opslaat en terugstuurt naar de aanvallers. Volgens de website Bleeping Computer maken de aanvallers gebruik van versleutelde documenten zodat ze lastiger door beveiligingssoftware zijn te detecteren. bron: security.nl

Er is een nieuwe versie van de Opera-browser verschenen die gebruikers waarschuwt als ze hun wachtwoord of creditcardnummer op een http-site invullen. In dit geval verschijnt er een melding dat het inloggen niet veilig is. Eerder werd een zelfde maatregel al aan Chrome en Firefox toegevoegd. Op deze manier willen de browserontwikkelaars voorkomen dat gebruikers hun inloggegevens op websites invoeren waar derden ze kunnen onderscheppen. Daarnaast moet het webontwikkelaars er toe bewegen om https voor hun website te implementeren. Sommige webmasters zijn echter niet gediend van de waarschuwing. Zo vroeg onlangs de beheerder van een website waar gebruikers via http moesten inloggen aan Mozilla om de melding in Firefox te verwijderen. bron: security.nl

Google Chrome geeft tegenwoordig bij https-sites de melding "Veilig" in de adresbalk weer, maar dat is niet altijd terecht, zo stelt beveiligingsbedrijf Wordfence. De eerste kritiek van onderzoeker Mark Maunder is dat de melding ook bij phishingsites wordt gegeven die over een geldig ssl-certificaat beschikken. Zo werd onlangs bekend dat de gratis ssl-verstrekker Let's Encrypt alleen voor PayPal-phishingsites zo'n 15.000 certificaten had uitgegeven. Gebruikers zouden zo kunnen denken dat de website waar ze op zitten veilig is. Een ander kritiekpunt is dat als een certificaatautoriteit een onterecht uitgegeven certificaat intrekt, Chrome nog steeds de melding "Veilig" weergeeft. Alleen via de Chrome-developertools is te zien dat het certificaat is ingetrokken. Daarnaast kan het enige tijd duren voordat kwaadaardige websites die over een geldig ssl-certificaat beschikken op de blacklist van Chrome verschijnen en gebruikers een waarschuwing krijgen. In de tussentijd verschijnt er nog steeds de melding "Veilig" bij deze websites. Volgens Maunder kan de safebrowsinglijst die Google hanteert dan ook niet als back-upmechanisme worden gebruikt om gebruikers tegen kwaadaardige websites met geldige ssl-certificaten te beschermen. Internetgebruikers krijgen dan ook het advies om altijd de hostnaam in de adresbalk te controleren. "Ik denk niet dat de melding "Veilig" in de adresbalk van Chrome goed genoeg is. Het Chrome-team zou een schaal moeten overwegen die rekening houdt met wie de certificaatautoriteit is, hoeveel domeinen hetzelfde certificaat delen en de leeftijd van een domein en diens certificaat. Er zijn andere kenmerken die je waarschijnlijk kunt gebruiken om een veiligheidsscore te berekenen, in plaats van alleen een binaire "Veilig" of "Niet veilig" melding voor websites", aldus Maunder. bron: security.nl

Cisco heeft een update voor de Aironet 1830 en 1850 access points uitgebracht wegens een ernstig beveiligingslek waardoor een aanvaller de apparaten volledig had kunnen overnemen. De kwetsbaarheid werd veroorzaakt door de aanwezigheid van standaard inloggegevens als de access points de Cisco Mobility Express Software draaiden. Een aanvaller die verbinding met de access point kon maken had vervolgens via ssh met verhoogde rechten op het apparaat kunnen inloggen. In het geval de aanval succesvol was had een aanvaller het apparaat volledig kunnen overnemen, aldus Cisco. De netwerkfabrikant heeft een update uitgebracht en adviseert beheerders die te installeren, aangezien er geen andere oplossing voorhanden is. De Cisco Aironet access points zijn bedoeld voor zakelijke draadloze netwerken. bron: security.nl

Microsoft heeft de Windows 10 Creators Update gelanceerd die allerlei nieuwe features aan het besturingssysteem toevoegt, waaronder verschillende privacyinstellingen. De update zal vanaf 11 april via de updatefunctie worden aangeboden, maar is nu handmatig te downloaden en installeren. Op beveiligingsgebied introduceert de Creators Update verschillende nieuwe opties, zoals de mogelijkheid om alleen de installatie van apps uit de Microsoft Store toe te staan. Daarnaast kunnen apps nu ook van de biometrische inlogmethodes van Windows Hello gebruikmaken. Voor de installatie van de Creators Update moeten gebruikers eerst hun huidige privacyinstellingen bevestigen. Een ander nieuw onderdeel van de Creators Update is het "Windows Defender Security Center" waarmee gebruikers in één keer de status van hun systeem kunnen zien. bron: security.nl

Het aantal aanvallen op Flash Player is door een combinatie van factoren de afgelopen tijd sterk afgenomen, zo stelt Adobe. Flash Player is nog altijd een geliefd doelwit van exploitkits waarmee criminelen internetgebruikers ongemerkt infecteren. De kwetsbaarheden die deze exploitkits aanvallen zijn echter oud en al geruime tijd gepatcht. Gebruikers die hun Flash Player-versie up-to-date hebben lopen in dit geval geen risico. Adobe stelt dat deze situatie aan verschillende factoren is te danken. Zo zorgt de automatische updatefunctie voor het sneller installeren van updates en heeft Adobe allerlei beveiligingsmaatregelen aan Flash Player toegevoegd die het lastig voor aanvallers maken om kwetsbaarheden te vinden en uit te buiten. Daarnaast hebben opsporingsdiensten een belangrijke groep exploitkit-ontwikkelaars opgerold en levert het gebruik van exploitkits minder op voor cybercriminelen. Toch zegt Adobe niet achterover te leunen. "Advanced persistent threats (APTs) kiezen op basis van hun missie welke technologie ze zullen aanvallen. Als je software in een omgeving wordt gebruikt waar de APT het op heeft voorzien, dan zullen ze alles doen om de missie te voltooien", zegt Peleus Uhley van Adobe. Hij is dan ook blij met hackwedstrijden zoals de recente Pwn2Own-wedstrijd, aangezien Adobe hierdoor nieuwe manieren leert om de software te beschermen. bron: security.nl

Microsoft heeft voor de eerste keer informatie online gezet over welke gegevens het besturingssysteem verzamelt en naar Microsoft terugstuurt. Windows 10 zal vanaf de Creators Update twee opties bieden wat betreft het verzamelen van gegevens: een standaard en een volledig niveau. Van het standaard niveau heeft Microsoft nu een volledig overzicht van de verzamelde diagnostische gegevens openbaar gemaakt. Daarnaast is er van het volledige niveau een gedetailleerde samenvatting gemaakt. Microsoft was in het verleden verschillende keren over het dataverzamelen door Windows 10 op de vingers getikt. De softwaregigant heeft vervolgens aangekondigd om via de Creators Update, die op 11 april verschijnt, verschillende aanpassingen door te voeren. Zo moeten gebruikers straks hun huidige privacyinstellingen bevestigen en zal bij een schone installatie het besturingssysteem ook al van tevoren om de gewenste privacyinstellingen vragen. Verder zegt Microsoft dat het gebruikers binnen producten meer informatie over privacy zal geven en is de privacyverklaring aangepast. Volgens Microsoft moeten gebruikers via deze maatregelen meer controle krijgen. Daarnaast krijgen gebruikers de toezegging dat verdere aanpassingen via toekomstige updates worden doorgevoerd. Verder zal Microsoft meer informatie delen om ervoor te zorgen dat Windows 10 aan de Europese privacywetgeving voldoet. bron: security.nl

Een Nederlandse onderzoeker is er in geslaagd om de EMET-beveiliging van Microsoft te omzeilen en het probleem is nog niet door de softwaregigant verholpen. EMET staat voor Enhanced Mitigation Experience Toolkit (EMET) en voegt een extra beveiligingslaag aan Windows en geïnstalleerde applicaties toe. Deze extra beschermingslaag moet het lastiger voor aanvallers maken om zowel bekende als onbekende kwetsbaarheden in het besturingssysteem of geïnstalleerde programma's of plug-ins aan te vallen. Ook kan EMET systeembeheerders een waarschuwing geven als een applicatie door een mogelijke aanval is gecrasht. De beveiligingstool wordt dan ook door menig expert en organisatie aangeraden. Volgens onderzoeker Niels Warnars kan een aanvaller die lees-schrijftoegang tot het geheugen heeft voorkomen dat de meeste beveiligingsmaatregelen van EMET actief worden. Warnars waarschuwde Microsoft vorig jaar mei. Sindsdien zijn er twee nieuwe versies van EMET verschenen, maar is het probleem nog steeds aanwezig. In januari liet Microsoft de onderzoeker weten dat het probleem in de volgende EMET-versie zal worden opgelost. Wanneer die echter uitkomt is nog onbekend. Microsoft is ondanks kritiek van beveiligingsexperts van plan om de ondersteuning van EMET op 31 juli 2018 stop te zetten. Volgens de softwaregigant biedt Windows 10 een betere beveiliging. In de tussentijd zullen er echter nog steeds updates voor de beveiligingstool verschijnen. bron: security.nl

In de firmware van twee moederborden van fabrikant Gigabyte bevindt zich een beveiligingslek waardoor een aanvaller met toegang tot het systeem een permanente rootkit kan installeren of de computer permanent kan beschadigen. Daarvoor waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Het gaat om de firmware van de Gigabyte GB-BSi7H-6500 en GB-BXi7-5775, twee zogeheten barebones waar gebruikers zelf nog geheugen en een harde schijf aan moeten toevoegen. De barebones zijn bijvoorbeeld als mediacenter te gebruiken. De firmware van beide platformen blijkt de schrijfbeveiliging niet goed uit te voeren. Daarnaast is de firmware niet cryptografisch gesigneerd. De firmware wordt via http aangeboden en beschikt niet over een checksum. Een aanvaller kan zodoende aanpassingen aan de firmware doorvoeren zonder dat het systeem dit kan controleren. Volgens het CERT/CC kan alleen een ingelogde lokale aanvaller de kwetsbaarheden uitbuiten. Voor de GB-BSi7H-6500 zal deze maand een update verschijnen, zo heeft Gigabyte bekendgemaakt. De GB-BXi7-5775 wordt echter niet meer ondersteund en zal geen nieuwe firmware ontvangen, waardoor deze systemen kwetsbaar blijven. Het CERT/CC zegt geen praktische oplossingen voor kwetsbare systemen te hebben. bron: security.nl

Dinsdag 11 april begint Microsoft met de uitrol van de Windows 10 Creators Update en als eerste zal dit op nieuwere computers plaatsvinden, zo heeft de softwaregigant aangekondigd. Microsoft zegt dat een gefaseerde uitrol de beste resultaten oplevert. Als eerste zijn nieuwere computers aan de beurt, met name die Microsoft samen met oem-partners heeft getest. Vervolgens zal de uitrol gefaseerd onder andere apparaten plaatsvinden. In totaal verwacht Microsoft dat het enkele maanden zal duren voordat alle Windows 10-computers die compatibel zijn de Creators Update hebben ontvangen. Gebruikers krijgen echter wel de optie om te bepalen wanneer de daadwerkelijke update zal plaatsvinden. Zo kan er bijvoorbeeld een specifieke tijd worden opgegeven. Gebruikers die niet willen wachten kunnen de Creators Update woensdag 5 april via de Update Assistant downloaden. "Deze optie is bedoeld voor geavanceerde gebruikers met computers die een gelicenseerde versie van Windows 10 draaien", aldus Microsofts John Cable. De Creators Update is één van de grootste Windows 10-updates tot nu toe en bevat allerlei nieuwe features en aanpassingen. Voor de installatie van de update zullen gebruikers hun privacyinstellingen moeten bevestigen. bron: security.nl

Google kijkt naar mogelijkheden om JavaScript-pop-ups in Chrome te blokkeren, omdat scammers hier actief misbruik van maken. Dat blijkt uit een voorstel dat het Chromium-team heeft gepubliceerd. Het komt geregeld voor dat JavaScriptpop-ups meldingen laten zien die bijvoorbeeld melden dat er een probleem met de computer is en er een bepaald nummer moet worden gebeld. In werkelijkheid gaat het om telefoonscammers. Ook zijn er scammers die via JavaScript de browser proberen te vergrendelen of gebruikers naar scareware en andere kwaadaardige software doorsturen. Het Chromium-team raadt het gebruik van JavaScriptpop-ups dan ook af. Daarnaast wordt er naar mogelijke opties gekeken om deze pop-ups te vervangen. Zo wordt een optie onderzocht waarbij bepaalde JavaScriptpop-ups worden geblokkeerd als de gebruiker niets met de pagina doet. Het kan dan bijvoorbeeld om kwaadaardige advertenties gaan die opeens een melding laten zien. In dit geval zal de pop-up niet worden getoond. Exacte details over het hoe de blokkade precies gaat werken kan Google nog niet geven. Vanwege het te verwachten effect krijgen app- en webontwikkelaars nu al het advies om dergelijke pop-ups niet meer te gebruiken. bron: security.nl

Aanbieder van virtualisatiesoftware VMware heeft beveiligingsupdates uitgebracht voor ernstige lekken in de software waardoor een aanvaller in het ergste geval het hostsysteem kon overnemen. De kwetsbaarheden werden eerder deze maand tijdens de Pwn2Own-wedstrijd in Vancouver gedemonstreerd. Het ging om twee aanvallen waarbij VMware het doelwit was. De software van VMware, die tijdens de wedstrijd op Windows 10 draaide, werd gebruikt voor het aanmaken van een virtual machine met ook Windows 10 als besturingssysteem. Bij de eerste aanval wisten onderzoekers van het Chinese beveiligingsbedrijf 360 Security verschillende kwetsbaarheden aan elkaar te rijgen. De aanval begon met een onbekend beveiligingslek in Microsoft Edge. Vervolgens werd een onbekende kwetsbaarheid in de Windowskernel gebruikt en als laatste een onbekend lek in VMWare Workstation. Hierdoor wisten de onderzoekers uit de virtual machine te ontsnappen. De tweede aanval werd door het Chinese beveiligingsbedrijf Tencent Security uitgevoerd en had als doel om vanuit de virtual machine met het Windows 10-gastsysteem het onderliggende Windows 10-hostsysteem volledig over te nemen. Volgens VMware is dit de ergste soort kwetsbaarheid die voor virtualisatiesoftware bestaat. Daarbij maakte het gastsysteem gebruik van een niet-beheerdersaccount. De onderzoekers gebruikten een onbekende kwetsbaarheid in de Windowskernel en twee onbekende lekken in VMware Workstation om het gastsysteem en uiteindelijk ook het hostsysteem over te nemen. VMware adviseert in een blogposting om de updates zo snel als mogelijk te installeren, maar dat het niet nodig is om omgevingen offline te halen. Volgens het virtualisatiebedrijf zijn er geen aanwijzingen dat de kwetsbaarheden actief worden aangevallen. De beveiligingslekken zijn aanwezig in alle VMware-platformen (ESXi, Fusion en Workstation). De aanvallen die de onderzoekers tijdens Pwn2Own lieten zien zijn echter alleen tegen VMware Workstation voor Windows gedemonstreerd. Aanvullend stelt VMware dat het dreigingslandschap aan het veranderen is, waarbij ook virtual machines kunnen worden aangevallen om de onderliggende host over te nemen. Aan de andere kant verandert ook de beveiliging. Zo zegt VMware dat het begonnen is om sandboxtechnologie rond de virtual machines uit te rollen om te voorkomen dat één enkel lek waardoor willekeurige kan worden uitgevoerd toegang tot de host geeft. Verder worden oude legacy-features verwijderd of uitgeschakeld om het aanvalsoppervlak te verkleinen. Klanten krijgen afsluitend het advies om een meerlaagse beveiliging toe te passen. "Het doel is om over voldoende lagen te beschikken zodat niet alle lagen tegelijkertijd kunnen worden doorbroken." bron: security.nl

De Amerikaanse president Donald Trump gaat het wetsvoorstel ondertekenen waardoor Amerikaanse internetproviders de surfgeschiedenis van hun abonnees zonder toestemming mogen verzamelen, gebruiken en verkopen aan derden, zo heeft Witte Huis-persvoorlichter Sean Spicer laten weten. Het wetsvoorstel werd eerder al door de Amerikaanse Senaat en het Congres goedgekeurd, waardoor alleen de handtekening van Trump nodig is om het voorstel in werking te laten treden. Providers mogen naast surfgeschiedenis straks ook het app-gebruik, e-mailadres, financiële en medische informatie, social security nummers en zelfs de inhoud van e-mails en online chats met derden delen en verkopen. Privacyorganisaties en ook politici hebben felle kritiek op het voorstel. "Verschrikkelijk voor het Amerikaanse volk, fantastisch voor grote bedrijven. Het is duidelijk waar de loyaliteit van het Congres en de Senaat ligt", aldus de Democratische senator Chuck Schumer op Twitter. Volgens de Amerikaanse burgerrechtenbeweging ACLU is het zeer teleurstellend dat de privacyrechten van Amerikanen worden "opgeofferd" om de winst van grote internetbedrijven te beschermen. De organisatie stelde na de stemming in het Congres dat Trump zijn veto over het voorstel moest uitspreken, maar die oproep lijkt nu tevergeefs. bron: security.nl

Er is een nieuwe versie van Google Chrome verschenen waarin een ernstig beveiligingslek is gedicht waardoor een aanvaller willekeurige code op het onderliggende platform kon uitvoeren. Dergelijke kwetsbaarheden worden zelden in Chrome aangetroffen. Zo is er in 2016 geen enkel ernstig beveiligingslek in de desktopversie van Chrome gerapporteerd. In 2015 werd een ernstige kwetsbaarheid twee keer opgelost en een jaar eerder drie keer. De onderzoeker die het probleem bij Google meldde kreeg hiervoor 9337 dollar. Verder zijn in Chrome 57.0.2987.133 vier andere kwetsbaarheden opgelost waardoor een aanvaller in het ergste geval code binnen de context van de browser kon uitvoeren. Een aanvaller kan in dit geval data van andere websites lezen of aanpassen. De update zal op de meeste systemen automatisch worden geïnstalleerd. bron: security.nl

Softwareontwikkelaars zijn begin dit jaar het doelwit van een gerichte aanval geweest waarbij er via een kwaadaardig Word-document werd geprobeerd om hun systeem met malware te infecteren. Onder andere Giorgio Maone, de ontwikkelaar van de populaire Firefox-extensie NoScript, was het doelwit. De aanvallers verstuurden e-mails waarin ze de ontvanger vroegen om aan een project te werken of werd er een baan aangeboden. Meer informatie zou in het meegestuurde doc-bestand zijn te vinden. Het doc-bestand bevatte echter een kwaadaardige macro die, wanneer ingeschakeld, malware op het systeem plaatste. Maone ontving in januari twee van dergelijke berichten die handgemaakt leken te zijn. Volgens de NoScript-ontwikkelaar ging het waarschijnlijk om een gerichte aanval tegen ontwikkelaars van opensourceprojecten. Hij krijgt bijval van beveiligingsbedrijf Palo Alto Networks, dat meldt dat ook ontwikkelaars op het ontwikkelplatform GitHub doelwit zijn geworden. Via de macro wordt een malware-exemplaar geïnstalleerd waarvan de eerste varianten van 2014 dateren. Het gaat om modulaire malware die in staat is om toetsaanslagen op te slaan, screenshots te maken, malware in draaiende processen te injecteren en zichzelf weer van het systeem te verwijderen. Daarnaast probeert het verkeer van en naar het besmette systeem te maskeren zodat het niet opvalt. Zo genereert de malware requests die naar een inmiddels uitgefaseerde Google-dienst lijken te gaan, maar in werkelijkheid alleen als camouflage dienen, aldus de onderzoekers. bron: security.nl