Ga naar inhoud

NCSC publiceert lijst met door Flubot-malware gebruikte domeinnamen


Aanbevolen berichten

Het Nationaal Cyber Security Centrum (NCSC) heeft op GitHub een lijst met domeinnamen gepubliceerd waarvan de Flubot-malware gebruikmaakt. Organisaties kunnen met deze lijst infecties op de telefoons van medewerkers opsporen of nieuwe besmettingen voorkomen.

Vorige maand werd de Flubot-malware via malafide sms-berichten onder Nederlandse Androidgebruikers verspreid. In de berichten, die van een pakketbezorger afkomstig leken, werd gesteld dat de ontvanger door het installeren van de gelinkte app zijn of haar pakket kon volgen. In werkelijkheid bevatte de app de Flubot-malware.

FluBot is een banking Trojan die onder andere gegevens probeert te stelen om bankfraude mee te kunnen plegen. Eenmaal geïnstalleerd door de gebruiker kan FluBot sms-berichten onderscheppen en versturen, het adresboek uitlezen, telefoonnummers bellen en Google Play Protect uitschakelen. Het voornaamste doel is echter phishing. De malware kijkt welke applicaties erop het toestel geïnstalleerd staan.

In het geval van bankapplicaties zal de FluBot hiervoor een aparte phishingpagina downloaden. Zodra het slachtoffer de legitieme bank-app start plaatst FluBot de phishingpagina hierover. Inloggegevens die gebruikers vervolgens op de phishingpagina invullen worden naar de aanvaller gestuurd. Daarnaast kan de malware phishingpagina's voor creditcardgegevens tonen en besmette toestellen nieuwe sms-berichten laten versturen.

KPN liet tegenover Security.NL weten dat het door de malware een sterke toename zag in het aantal klanten met een sms-piek. Normaliter krijgt de telecomprovider met enkele tientallen klanten per week te maken waarbij er een piek in het sms-gebruik zichtbaar is. Na de uitbraak van de FluBot-malware ging het vorige week om bijna vijfhonderd klanten.

Eerder meldde securitybedrijf ThreatFabric tegenover Security.NL dat het de infecties in Nederland met duizenden zag toenemen. De Fraudehelpdesk laat aan Security.NL weten dat het in mei 4700 meldingen ontving over verdachte berichten van een pakketdienst. Een aantal van deze personen installeerden de malafide app en waren vervolgens honderden euro's kwijt aan sms-kosten.

De lijst van het NCSC bevat een overzicht van domeinnamen waar de malware mee communiceert. Het gaat om duizenden domeinnamen eindigend op .su, .ru en .cn. "Organisaties kunnen deze lijst gebruiken om infecties te detecteren en/of blokkeren en waar nodig actie ondernemen", aldus de overheidsdienst.

 

bron: https://www.security.nl

Link naar reactie
Delen op andere sites


 Delen

×
×
  • Nieuwe aanmaken...