Een van de adviezen die beveiligingsprofessionals de afgelopen decennia, zo niet langer, hebben gegeven, is dat u alleen software van gerenommeerde sites mag downloaden. Wat betreft computerbeveiligingsadvies, dit lijkt vrij eenvoudig te oefenen.

Maar zelfs als dergelijk advies breed wordt gedeeld, downloaden mensen nog steeds bestanden van duidelijk niet-gerenommeerde plaatsen en raken daardoor gecompromitteerd. Ik ben al meer dan een paar decennia een lezer van Neowin en bijna net zo lang lid van het forum. Maar dat is niet de enige plaats waar ik online deelneem: sinds iets meer dan drie jaar geef ik mijn tijd als vrijwilliger om een ​​aantal Reddit-forums (subreddits) te modereren die zowel algemene computerondersteuning bieden als meer specifiek advies over het verwijderen van malware. In die subreddits heb ik mensen keer op keer geholpen terwijl ze probeerden te herstellen van de gevolgen van gecompromitteerde computers. Aanvallen zijn tegenwoordig meestal financieel gemotiveerd, maar er zijn ook andere onverwachte gevolgen. Ik moet zeggen dat dit niet iets unieks is voor de gebruikers van Reddit. Dit soort vragen komen ook naar voren in online chats op verschillende Discord-servers waar ik ook vrijwilligerswerk doe.

Een ding waarop ik moet wijzen, is dat zowel de Discord- als de Reddit-services scheeftrekken naar een jongere doelgroep dan sociale mediasites zoals Twitter en Facebook. Ik vermoed ook dat ze jonger zijn dan de gemiddelde WeLiveSecurity-lezer. Deze mensen zijn digitaal geletterd opgegroeid en hebben sinds de kleuterschool toegang tot advies en discussies over veilige computerpraktijken.

Een storing in de communicatie

Ondanks dat ze het voordeel hebben dat ze zijn opgegroeid met computers en informatie over het beveiligen ervan, hoe komt het dan dat deze mensen het slachtoffer zijn geworden van bepaalde aanvalspatronen? En van de kant van de informatiebeveiligingsprofessional, waar is precies de ontkoppeling tussen wat we mensen zeggen te doen (of niet te doen, naargelang het geval), en wat ze doen (of, nogmaals, niet doen)?

Soms geven mensen openlijk toe dat ze beter wisten, maar gewoon iets doms deden, waarbij ze de bron van de software vertrouwden terwijl ze wisten dat die niet betrouwbaar was. Soms leek het echter betrouwbaar, maar was het dat niet. En op andere momenten hadden ze heel duidelijk de bron van de malware als betrouwbaar aangemerkt, zelfs als deze inherent onbetrouwbaar was. Laten we eens kijken naar de meest voorkomende scenario's die ertoe leiden dat hun computers worden aangetast:

• Ze ontvingen een privébericht via Discord "van" een online vriend die hen om feedback vroeg over een game die de vriend aan het schrijven was. Het "spel" dat de online vriend aan het schrijven was, stond in een met een wachtwoord beveiligd .ZIP-bestand, dat ze moesten downloaden en uitpakken met het wachtwoord voordat ze het konden uitvoeren. Helaas was het account van de vriend eerder gecompromitteerd en de aanvaller gebruikte het nu om kwaadaardige software te verspreiden.
• Daar hebben ze Google voor gebruikt search voor een commercieel softwarepakket dat ze wilden gebruiken, maar specificeerden dat ze op zoek waren naar een gratis of een gekraakte versie ervan en dat ze het van een website hadden gedownload in de zoekresultaten. Het is niet altijd commerciële software; zelfs gratis of open-sourceprogramma's zijn onlangs het doelwit geweest van kwaadaardige advertenties (malvertising) campagnes Google-advertenties gebruiken.
• Evenzo zochten ze op YouTube naar een video over het downloaden van een gratis of gekraakte versie van een commercieel softwarepakket, en gingen vervolgens naar de website die in de video wordt genoemd of in de opmerkingen wordt vermeld om het te downloaden.
• Ze torrentten de software van een bekende site die gespecialiseerd is in illegale software.
• Ze torrentten de software van een privé-tracker, Telegram-kanaal of Discord-server waarin ze al meer dan een jaar actief waren.

Ik zou erop willen wijzen dat dit niet de enige manier is waarop mensen werden misleid om malware uit te voeren. WeLiveSecurity heeft onlangs gerapporteerd over verschillende opmerkelijke gevallen waarbij de gebruiker werd misleid:

• In een opmerkelijk geval KryptoCibule, op cryptocurrency gerichte malware die gericht was op Tsjechische en Slowaakse gebruikers, werd verspreid via een populaire lokale service voor het delen van bestanden, vermomd als illegale games of downloadbare inhoud (DLC) voor hen. In een tweede, niet-gerelateerd geval werden Chineestalige sprekers in Zuidoost- en Oost-Azië het doelwit van vergiftigde Google-zoekresultaten voor populaire applicaties zoals de Firefox-webbrowser en populaire berichten-apps Telegram en WhatsApp, om getrojaniseerde versies met de FataleRAT trojan voor toegang op afstand.

Lijkt een van deze scenario's op enigerlei wijze op elkaar? Ondanks de verschillende manieren om het bestand te ontvangen (zoeken versus gevraagd worden, een zoekmachine, videosite of piraterijsite gebruiken, enz.) hebben ze allemaal één ding gemeen: ze maakten misbruik van vertrouwen.

Veilig(er) downloaden

Wanneer beveiligingsprofessionals praten over het downloaden van bestanden Slechts van gerenommeerde websites, lijkt het erop dat we vaak maar de helft van het werk doen om het publiek erover te informeren, of misschien zelfs iets minder: we hebben het veel beter gedaan om mensen te vertellen wat soort sites om naar toe te gaan (gerenommeerde natuurlijk) zonder uit te leggen waarom een ​​site in de eerste plaats veilig is om van te downloaden. Dus, zonder enige tamtam, hier is wat merken een gerenommeerde site om software te downloaden van:

• U mag software alleen rechtstreeks downloaden van de site van de auteur of uitgever, of van een site die uitdrukkelijk door hen is geautoriseerd.

En dat is het! In de huidige wereld van software zou de site van de uitgever iets flexibeler kunnen zijn dan in het verleden. Ja, het kan een site zijn met dezelfde domeinnaam als de site van de uitgever, maar het kan ook zijn dat de bestanden zich bevinden op GitHub, SourceForge, gehost op een content delivery network (CDN) beheerd door een derde partij, enzovoort . Dat is nog steeds de site van de uitgever, aangezien deze expliciet door hen is geüpload. Soms bieden uitgevers ook extra links naar aanvullende downloadsites. Dit wordt om verschillende redenen gedaan, bijvoorbeeld om hostingkosten te dekken, om snellere downloads in verschillende regio's te bieden, om de software in andere delen van de wereld te promoten, enzovoort. Ook deze zijn officieel downloadsites omdat ze specifiek zijn geautoriseerd door de auteur of uitgever.

Er zijn ook sites en services die fungeren als softwareopslagplaatsen. SourceForge en GitHub zijn populaire sites voor het hosten van open-sourceprojecten. Voor shareware en proefversies van commerciële software zijn er tal van sites die gespecialiseerd zijn in het vermelden van hun nieuwste versies om te downloaden. Deze downloadsites fungeren als curatoren voor het vinden van software op één plek, waardoor het gemakkelijk is om nieuwe software te zoeken en te ontdekken. In sommige gevallen kunnen ze echter ook een donkere kant hebben: sommige van deze sites plaatsen software-omslagen rond bestanden die van hen zijn gedownload en die kunnen vragen om aanvullende software te installeren naast het programma waarnaar u op zoek was. Deze programmabundelaars kunnen dingen doen die niets te maken hebben met de software waaraan ze zijn gekoppeld en die ze in feite kunnen installeren mogelijk ongewenste toepassingen (PUA's) op uw computer.

Andere soorten sites waar u op moet letten, zijn bestandskluisservices zoals Box, Dropbox en WeTransfer. Hoewel dit allemaal zeer legitieme services voor het delen van bestanden zijn, kunnen ze worden misbruikt door een bedreigingsactor: mensen kunnen ervan uitgaan dat, omdat de service vertrouwd is, de programma's die van hen zijn gedownload, veilig zijn. Omgekeerd kunnen IT-afdelingen die controleren op exfiltratie van gegevens, uploads van bestanden met persoonlijke informatie en inloggegevens negeren omdat ze bekend staan ​​als legitieme services.

Als het op zoekmachines aankomt, kan het interpreteren van hun resultaten lastig zijn voor niet-ingewijden of mensen die gewoon ongeduldig zijn. Hoewel het doel van elke zoekmachine, of het nu Bing, DuckDuckGo, Google, Yahoo of een andere is, is om de beste en meest nauwkeurige resultaten te leveren, draaien hun kernactiviteiten vaak om adverteren. Dit betekent dat de resultaten bovenaan de pagina in de resultaten van de zoekmachine vaak niet de beste en meest accurate resultaten zijn, maar betaalde advertenties. Veel mensen merken het verschil niet tussen advertenties en resultaten van zoekmachines, en criminelen zullen hiervan profiteren door middel van malvertisingcampagnes waarbij ze advertentieruimte kopen om mensen om te leiden naar websites die worden gebruikt voor phishing en andere ongewenste activiteiten, en malware. In sommige gevallen kunnen criminelen een domeinnaam registreren met behulp van typosquatting of een soortgelijk uiterlijk hoofddomein naar dat van de software-uitgever om hun websiteadres op het eerste gezicht minder opvallend te maken, zoals voorbeeld.com versus voorbeeld1e.com (merk op hoe de letter "l" is vrijgegeven door het cijfer "1" in het tweede domein) .

Ik wijs erop dat er veel legitieme, veilige plaatsen op het internet zijn om gratis en proefversies van software te downloaden, omdat ze linken naar de eigen downloads van de uitgever. Een voorbeeld hiervan is Neowin, voor wie de originele versie van dit artikel is geschreven. van Neowin Software download sectie houdt zich niet bezig met enige vorm van onoprecht gedrag. Alle downloadlinks gaan rechtstreeks naar de eigen bestanden van de uitgever of naar hun webpagina, waardoor Neowin een betrouwbare bron is voor het vinden van nieuwe software. Een andere gerenommeerde site die rechtstreeks naar de downloads van software-uitgevers linkt, is MajorGeeks, die ze al meer dan twee decennia bijna dagelijks opsomt.

Hoewel direct downloaden ervoor zorgt dat u software krijgt van het bedrijf (of de persoon) die het heeft geschreven, betekent dit niet noodzakelijkerwijs dat het vrij is van malware: er zijn gevallen geweest waarin schadelijke software in een softwarepakket was opgenomen, onopzettelijk or anders-. Evenzo, als een software-uitgever potentieel ongewenste applicaties of adware bundelt met hun software, dan ontvang je dat nog steeds met een directe download van hun site.

Speciale aandacht moet worden besteed aan de verschillende winkels voor toepassingssoftware die worden gerund door leveranciers van besturingssystemen, zoals de Apple App Store, de Google Play Store, de Windows App Stores van Microsoft, enzovoort. Men zou kunnen aannemen dat deze sites betrouwbare downloadsites zijn, en voor het grootste deel zijn ze dat ook, maar er is geen 100% garantie: gewetenloze software-auteurs hebben de controleprocessen van app-winkels omzeild om software te verspreiden die inbreuk maakt op de privacy van mensen met spyware, weergave flagrante advertenties met adware, en ander ongewenst gedrag vertonen. Deze app-winkels hebben de mogelijkheid om dergelijke software uit hun winkels te verwijderen en op afstand te verwijderen van getroffen apparaten, wat een oplossing biedt; dit kan echter dagen of weken (of meer) zijn nadat de software beschikbaar is gesteld. Zelfs als u alleen apps uit de officiële winkel downloadt, is het hebben van beveiligingssoftware op uw apparaat om het te beschermen een must.

Apparaatfabrikanten, detailhandelaren en serviceproviders kunnen hun eigen app-winkels aan apparaten toevoegen; deze hebben echter mogelijk niet de mogelijkheid om apps op afstand te verwijderen.

Over de betrokken malware

Met dat alles in gedachten, vraagt ​​u zich waarschijnlijk af wat de malware precies heeft gedaan op de getroffen computers. Hoewel er verschillende malwarefamilies bij betrokken waren, die elk hun eigen reeks acties en gedragingen hadden, waren er twee die er in wezen uitsprongen omdat ze recidivisten waren, wat veel verzoeken om hulp opleverde.

• STOP/DJVU, gedetecteerd door ESET als Win32/Filecoder.STOP, is een familie van ransomware die zich zwaar op studenten leek te richten. Hoewel niet alle getroffenen op dezelfde manier het doelwit waren, meldden verschillende studenten dat de ransomware verscheen na het illegaal kopiëren van commerciële VST-plug-ins die bedoeld waren voor school of persoonlijke projecten terwijl ze op de universiteit zaten. Dit ondanks het feit dat de plug-ins zijn gedownload van torrents met een hoge reputatie die worden gedeeld door oude gebruikers en tientallen of soms zelfs honderden seeders hebben voor die specifieke magneetlink.

• Kort nadat de softwarepiraterij plaatsvond, vonden de studenten vrij standaard ransomware-aantekeningen op hun bureaublad. Wat ongebruikelijk was aan de afpersingsnota's, was dat in plaats van te vragen om tientallen of honderdduizenden dollars betaald te worden, veel lagere bedragen werden gevraagd door de criminelen - ongeveer US $ 1,000-1,200 (in cryptocurrency). Maar dat is nog niet alles: slachtoffers die binnen de eerste 24-72 uur na melding betaalden, kwamen in aanmerking voor 50% korting. Hoewel het bedrag dat wordt afgeperst erg laag lijkt in vergelijking met wat criminelen die zich op bedrijven richten, vragen, kan het lagere bedrag een grotere kans op betaling door het slachtoffer betekenen, vooral wanneer het wordt geconfronteerd met zulke hogedruktactieken. Het is mogelijk dat de STOP/DJVU-ransomware wordt op de markt gebracht als ransomware-as-a-service (RaaS), wat betekent dat de ontwikkelaars het verhuren aan andere criminelen in ruil voor betaling en een deel van de winst. Andere criminelen gebruiken het misschien ook, maar het lijkt erop dat ten minste één groep zijn goede plek heeft gevonden in het aanvallen van studenten.

En voor het geval je het je afvraagt: ik heb nog nooit gehoord dat iemand zijn bestanden met succes ontsleutelde nadat hij het losgeld aan de STOP/DJVU-criminelen had betaald. U kunt uw bestanden het beste ontsleutelen door er een back-up van te maken voor het geval er ooit een decryptor wordt uitgebracht.

• Redline Stealer, zoals de naam al aangeeft, is een familie van aanpasbare informatiestelende trojans die door ESET worden gedetecteerd als MSIL/Spy.RedLine en MSIL/Spy.Agent. Net als de STOP/DJVU-ransomware lijkt het te worden verhuurd als onderdeel van de criminele software-as-a-service-familie van tools. Hoewel ik meerdere meldingen heb gezien dat het via Discord wordt verspreid, zijn er waarschijnlijk veel criminele bendes die het op verschillende manieren verspreiden voor verschillende doeleinden, aangezien het wordt "verkocht" als een serviceaanbod. In deze gevallen ontvingen de slachtoffers directe berichten van gecompromitteerde vriendenaccounts waarin hen werd gevraagd software uit te voeren die aan hen was geleverd in een met een wachtwoord beveiligd .ZIP-bestand. De criminelen vertelden de slachtoffers zelfs dat als hun antivirussoftware iets detecteerde, het een vals positief alarm was en dat ze het moesten negeren.

Wat de functionaliteit betreft, voert Redline Stealer een aantal vrij algemene activiteiten uit voor het stelen van malware, zoals het verzamelen van informatie over de versie van Windows die op de pc wordt uitgevoerd, de gebruikersnaam en de tijdzone. Het verzamelt ook wat informatie over de omgeving waarin het wordt uitgevoerd, zoals de schermgrootte, de processor, het RAM-geheugen, de videokaart en een lijst met programma's en processen op de computer. Dit kan zijn om te helpen bepalen of het in een emulator, virtuele machine of een sandbox draait, wat een waarschuwing kan zijn voor de malware dat het wordt gecontroleerd of onderworpen aan reverse-engineering. En net als andere soortgelijke programma's, kan het naar bestanden op de pc zoeken en deze naar een externe server uploaden (handig voor het stelen van privésleutels en cryptocurrency-portefeuilles), maar ook bestanden downloaden en uitvoeren.

Maar de primaire functie van een informatiedief is het stelen van informatie, dus met die geest, waar gaat de Redline Stealer precies op uit? Het steelt inloggegevens van veel programma's, waaronder Discord, FileZilla, Steam, Telegram, verschillende VPN-clients zoals OpenVPN en ProtonVPN), evenals cookies en inloggegevens van webbrowsers zoals Google Chrome, Mozilla Firefox en hun derivaten. Aangezien moderne webbrowsers niet alleen accounts en wachtwoorden opslaan, maar ook creditcardgegevens, kan dit een aanzienlijke bedreiging vormen.

Aangezien deze malware door verschillende criminele bendes wordt gebruikt, kan elk van hen zich op iets anders richten. In deze gevallen waren de doelen echter meestal Discord-, Google- en Steam-accounts. De gecompromitteerde Discord-accounts werden gebruikt om de malware onder vrienden te verspreiden. De Google-accounts werden gebruikt om toegang te krijgen tot YouTube en het aantal weergaven voor bepaalde video's te vergroten, en om video's te uploaden waarin reclame werd gemaakt voor verschillende frauduleuze plannen, waardoor het account werd verbannen. De Steam-accounts werden gecontroleerd op games met in-game valuta of items die door de aanvaller konden worden gestolen en gebruikt of doorverkocht. Dit lijken misschien vreemde keuzes gezien alle dingen die kunnen worden gedaan met gecompromitteerde accounts, maar voor tieners zijn dit misschien wel de meest waardevolle online middelen die ze bezitten.

Om samen te vatten, hier hebben we twee verschillende soorten malware die worden verkocht als services voor gebruik door andere criminelen. In deze gevallen leken die criminelen zich te richten op slachtoffers in hun tienerjaren en begin twintig. In één geval, het afpersen van slachtoffers voor een bedrag dat in verhouding staat tot wat voor soort geld ze zouden kunnen hebben; in het andere geval gericht op hun Discord, YouTube (Google) en online games (Steam). Gezien de slachtofferrol moet men zich afvragen of deze criminele bendes zijn samengesteld uit mensen in vergelijkbare leeftijdscategorieën, en zo ja, specifieke targeting- en verleidingsmethoden hebben gekozen waarvan ze weten dat ze zeer effectief zouden zijn tegen hun leeftijdsgenoten.

Waar gaan we heen?

Beveiligingsprofessionals adviseren mensen om de besturingssystemen en applicaties van hun computer up-to-date te houden, alleen de nieuwste versies te gebruiken en beveiligingssoftware van gevestigde leveranciers te gebruiken. En voor het grootste deel: mensen doen dat, en het beschermt hen tegen een breed scala aan bedreigingen.

Maar wanneer u op zoek gaat naar vage bronnen om van te downloaden, kan het slechter gaan. Beveiligingssoftware probeert menselijk gedrag te verklaren, maar criminelen die concepten als reputatie en vertrouwen uitbuiten, doen dat ook. Als een goede vriend op Discord je vraagt ​​om naar een programma te kijken en je waarschuwt dat je antivirussoftware het ten onrechte als een bedreiging kan detecteren, wie ga je dan geloven, je beveiligingssoftware of je vriend? Programmatisch reageren op en verdedigen tegen aanvallen op vertrouwen, die in wezen vormen van social engineering zijn, kan moeilijk zijn. In het soort scenario's dat hier wordt uitgelegd, is het de opleiding van de gebruiker en niet de computercode die de ultieme verdediging kan zijn, maar dat is alleen als de beveiligingsprofessionals de juiste berichten overbrengen.

De auteur wil graag zijn collega's Bruce P. Burrell, Alexandre Côté Cyr, Nick FitzGerald, Tomáš Foltýn, Lukáš Štefanko en Righard Zwienenberg bedanken voor hun hulp bij dit artikel, evenals Neowin voor het publiceren van de originele versie ervan.

Aryeh Goretsky
Vooraanstaand onderzoeker, ESET

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoAiStream. Web3 gegevensintelligentie. Kennis versterkt. Toegang hier.
• De toekomst slaan met Adryenn Ashley. Toegang hier.
• Koop en verkoop aandelen in PRE-IPO-bedrijven met PREIPO®. Toegang hier.
• Bron: https://www.welivesecurity.com/2023/05/16/you-may-not-care-where-download-software-malware-does/