Malware: Difference Between Computer Viruses, Worms and Trojans
Onderzoekers van beveiligingsleverancier AlienVault hebben een variant van een recent ontdekte Internet Explorer-exploit geïdentificeerd die wordt gebruikt om gerichte computers met het Trojan-programma (RAT) met PlugX-toegang op afstand te infecteren.
De net ontdekte exploitvariant is gericht op dezelfde niet-gepatchte kwetsbaarheid in IE 6, 7, 8 en 9 als de oorspronkelijke exploit, maar gebruikt iets andere code en heeft een andere payload, zei AlienVault Labs manager Jaime Blasco dinsdag in een blogpost.
De eerste exploit werd gedurende het weekend gevonden op een bekende kwaadwillende server door beveiligingsonderzoeker Eric Romang en verdeelde de Poison Ivy RAT. De tweede exploitversie die door AlienVault-onderzoekers is ontdekt, is gevonden op een andere server en installeert een veel nieuwer RAT-programma met de naam PlugX.
beide servers suggereren dat beide versies van de exploit al sinds ten minste 14 september in gebruik zijn.
"We weten dat de groep die actief de PlugX-malware gebruikt, ook Flowershow genoemd, toegang had tot Internet Explorer ZeroDay [exploit gericht op een niet-gepatchte kwetsbaarheid] dagen voordat het werd ontdekt, "zei Blasco. "Vanwege de overeenkomsten van de nieuwe ontdekte exploitcode en de code die enkele dagen geleden is ontdekt, is het zeer waarschijnlijk dat dezelfde groep achter beide instanties zit."
AlienVault-onderzoekers volgen aanvallen die de PlugX RAT gebruiken sinds eerder dit jaar. Op basis van foutopsporingspaden die in de malware zijn aangetroffen, geloven ze dat de relatief nieuwe RAT is ontwikkeld door een Chinese hacker bekend als WHG, die eerder banden had met de Network Crack Program Hacker (NCPH), een bekende Chinese hackergroep.
AlienVault-onderzoekers hebben ook twee andere websites geïdentificeerd die de nieuwe IE-exploit in het verleden hebben gediend, maar er kon geen payload van hen worden verkregen, zei Blasco. Een daarvan was een nieuwssite over defensie uit India en de andere was waarschijnlijk een valse versie van de 2e internationale professionele LED-symposium-website, zei hij. (Zie ook "Kwaadaardige web-apps: hoe ze te herkennen, hoe ze te verslaan.")
"Het lijkt erop dat de jongens achter deze 0-daagse gericht waren op specifieke sectoren," zei Blasco.
De server waarop het oorspronkelijke IE-besturingssysteem werkt werd ook een exploit gevonden voor een niet-gepatcht Java-probleem vorige maand. Die Java-exploit werd gebruikt bij aanvallen van beveiligingsonderzoekers aan een Chinese hackergroep die "Nitro" heette.
Microsoft heeft al een beveiligingsadvies uitgebracht over de nieuwe IE-kwetsbaarheid en aanbevolen tijdelijke beperkingsoplossingen terwijl deze op een patch werkt.
Beveiligingswaarschuwingswaarschuwingen werken niet, onderzoekers zeggen
Onderzoekers van Carnegie Mellon zeggen dat gebruikers de waarschuwingen voor "ongeldige certificaten" grotendeels negeren browsers worden soms weergegeven.
De veiligste hackers komen uit Oost-Europa, zeggen onderzoekers
Ondanks een groeiend aantal succesvolle cyberaanvallen door Oost-Aziatische hackers tegen bedrijven en overheidsinstellingen in de hele wereld wereld in de afgelopen jaren, Oost-Europese cybercriminelen blijven een geavanceerdere bedreiging voor het wereldwijde internet, zeggen onderzoekers uit de veiligheidssector.
Facebook's zoekopdracht op telefoon kan worden misbruikt om de cijfers van mensen te vinden, zeggen onderzoekers
Aanvallers kunnen de zoekfunctie van Facebook gebruiken om geldige zoekopdrachten te vinden telefoonnummers en de naam van hun eigenaars, volgens beveiligingsonderzoekers.