Vous n’êtes pas connecté à Internet.
Savoir-faire

Ce que les phisher digitec veulent vraiment

L’e-mail indésirable envoyé par les phisher est analysé. Nous vous expliquons la fonction de ce dernier et comment vous en débarrasser.

Après avoir appris que des e-mails de phishing, avec pour expéditeur digitec, étaient en circulation, nous avons averti nos utilisateurs et nous sommes mis à la recherche d’indices.

phishing_teaser21.jpeg
Savoir-faire
Dominik Bärlocher
Dominik Bärlocher
Dominik Bärlocher
Editor
  • 81articles rédigés
  • 0questions posées
  • 1questions avec réponses
  • 0évaluations écrites
  • 0évaluations commentées
  • 0discussions engagées
  • 0messages rédigés
Plus d'infos...
  • 233 60

Sur les traces des e-mails de phishing digitec

Alors que d’autres se sont reposés durant le week-end, l’équipe de Christian Margadant, Head of Technics chez Digitec Galaxus AG a décodé et analysé l’e-mail mal veillant. «Nous avons trouvé ce que le code veut faire à votre ordinateur», dit-il.

Reverse engineering avec précaution

Lors de l’analyse du programme malveillant, Margadant a observé la plus grande prudence. Car s’il venait à appliquer le code par erreur, cela pourrait avoir de graves répercutions sur l’ensemble du réseau de Digitec Galaxus AG. Au début d’une analyse, il faut toujours s’attendre au pire: données effacées, fichiers chiffrés et autres. «J’ai regardé le code sur un ordinateur portable qui n’est ni connecté à Internet ni au réseau», précise-t-il. Par ailleurs il ne contient pas de données personnelles; il serait dommage de les perdre – ce qui est tout autre chez de nombreux ordinateurs de nos clients. «Dans le pire des cas, j’aurais tout simplement remis l’ordinateur à zéro et le problème du logiciel malveillant aurait été réglé.»

Il n’a pas eu besoin de l’ordinateur portable isolé longtemps. Il a rapidement compris que son ordinateur était sûr tant qu’il décodait le code dans un environnement sauf et isolé. Il n’a pas utilisé d’outils spéciaux: «Firefox, Developer Console et quelques sites Internet; c’est tout. Quand on analyse un code malveillant, il faut bien veiller à l’enregistrer dans un dossier qui ne peut pas être accidentellement exécuté. Donc pas en fichier JavaScript, mais en fichier texte normal.»

Pas à pas vers le décodage

Le code malveillant envoyé avec les e-mails suit un schéma simple. Comme un document Word est utilisé comme plateforme de départ, le code doit débuter facilement avant de pouvoir exécuter des fonctions complexes. Cette partie complexe est cryptée, mais peut facilement être décodée. «Quelque part dans le code est cachée une fonction qui transmet tous les caractères utilisés au décodage», ajoute Margadant, «dès que cette dernière est détectée, je peux l’utiliser contre le programme malveillant et décoder le code.»

Margadant a de la chance avec la première partie du décodage. Il ne trouve pas seulement d’autres blocs codés, mais également des parties en texte non crypté qu’il pouvait lire. Encore mieux: «Le code est bien commenté donc je peux simplement lire ce que fait la partie non codée.» Voici un indice qui montre que ce n’est pas un professionnel qui était à l’œuvre: le commentaire a facilité la tâche d’un Script Kiddie (quelqu’un utilisant un logiciel préprogrammé) pour créer et adapter le code. Cependant les autres parties codées du code indiquent un travail professionnel.

Maintenant que le code entier est décodé, nous pouvons vous dire ce que le logiciel malveillant fait exactement.

Ce que le logiciel malveillant fait à votre ordinateur

D’abord la bonne nouvelle: vos données ne sont ni supprimées ni codées. La mauvaise: votre argent n’est plus en sécurité. Mais une chose après l’autre.

Dans un premier temps, le malware prépare le terrain pour des opérations plus complexes.

  • Votre IP est enregistrée dans un fichier log.
  • Des certificats sont installés
  • De nouvelles entrées dans le registre sont établies

Ces étapes en soi ne sont pas nuisibles, mais offrent un terrain idéal pour d’autres logiciels malveillants. Ce sont surtout les certificats qui sont importants pour la suite des opérations.

Dans un second pas, des téléchargements sont exécutés. Aucun des programmes téléchargés n’est malveillant ou mauvais en soi. Au contraire. Dans certains coins du monde, ils font partie de la survie numérique.

Ensuite, le malware lance TorBrowser et Proxifier. Pour que ces derniers fonctionnent toujours en arrière-plan, ils sont désignés comme des tâches planifiées. Ces procédés en arrière-plan sont camouflés.

  • La tâche Proxifier porte le nom de MicrosoftUpdate
  • La tâche Tor porte le nom de SkypeUpdateTask

Pour la première fois, on voit ce que ce logiciel fait vraiment. Car Proxifier est muni d’un profil qui transmet les demandes de certains sites Internet via une route contrôlée par des tiers. Ces sites sont:

  • *postfinance.ch
  • cs.directnet.com
  • eb.akb.ch
  • .ubs.com
  • tb.raiffeisendirect.ch
  • *.bkb.ch
  • *.lukb.ch
  • *.zkb.ch
  • *.onba.ch
  • e-banking.gkb.ch
  • *.bekb.ch
  • wwwsec.ebanking.zugerkb.ch
  • netbanking.bcge.ch
  • *.raiffeisen.ch
  • *.credit-suisse.com
  • *.bankaustria.at
  • *.bawagpsk.com
  • *.raiffeisen.at
  • *.static-ubs.com
  • *.bawag.com
  • *.clientis.ch
  • clientis.ch
  • *bcvs.ch
  • *cic.ch
  • www.banking.co.at
  • *oberbank.at
  • www.oberbank-banking.at
  • *baloise.ch
  • *.ukb.ch
  • urkb.ch
  • *.urkb.ch
  • *.eek.ch
  • *szkb.ch
  • *shkb.ch
  • *glkb.ch
  • *nkb.ch
  • *owkb.ch
  • *cash.ch
  • *bcf.ch
  • *.easybank.at
  • ebanking.raiffeisen.ch
  • *.onion
  • *bcv.ch
  • *juliusbaer.com
  • *abs.ch
  • *bcn.ch
  • *blkb.ch
  • *bcj.ch
  • *zuercherlandbank.ch
  • *valiant.ch
  • *wir.ch

Avec cette liste de banques, nous pouvons déduire que seuls les clients de banques suisses et autrichiennes sont concernés. Ce qui signifie aussi que les agresseurs savent exactement qui attaquer. Ce script ne devrait être diffusé qu’en Suisse et en Autriche, car il n’aurait aucune influence sur les clients des banques étrangères. Cependant, pour les clients suisses et autrichiens il se passe la chose suivante: si vous voulez accéder à votre système d’e-banking, le trafic est lu par d’autres personnes. Il s’agit donc d’une attaque classique de Man in the Middle.

Dans une attaque Man in the Middle, le trafic de l’utilisateur à l’hôte passe par des tiers où ils sont lus.

Comme Christian Margadant et son équipe ne peuvent pas accéder au site sur le Darknet, le Head of Technics émet deux hypothèses:

  1. Les sites du darknet ne sont pas encore ou plus en ligne
  2. Les sites du Darknet acceptent seulement des POST et n’interceptent donc que des données, mais pas de GET, nécessaire à l’utilisateur pour pouvoir voir des données du serveur dans le navigateur.

Comment se débarrasser du logiciel malveillant

La solution la plus simple et de loin la moins chère pour se débarrasser du malware est de formater le disque dur et de recréer Windows. L’utilisateur Deville_TGR avait dit juste dans l’article précédent.

Alors recréer le système d’exploitation?

Exactement. Ce n’est malheureusement pas toujours possible ou souhaitable même si recommandé. Au cas où vous ne voulez ou pouvez pas réinstaller Windows, appliquer les conseils suivants en plus du dernier donné dans le premier article.

  1. Ouvrez le Gestionnaire des tâches et regardez les Processus.
  2. Forcez l’arrêt de tor.exe et proxifier.exe. Si vous ne trouvez pas les tâches alors vous n’êtes, d’après nos connaissances actuelles, pas infecté.
  3. Allez sur Démarrer → Exécuter et entrez taskschd.msc
  4. Appuyez sur Entrer
  5. Supprimez les deux tâches SkypeUpdateTask et MicrosoftUpdate (dans lePlanificateur de tâches)
  6. Allez sur Démarrer → Exécuter et entrez %appdata%
  7. Appuyez sur Entrer
  8. Quand le dossier TP est disponible, supprimez-le
  9. Allez sur Démarrer → Exécuter et entrez %temp%
  10. Appuyez sur Entrer
  11. Quand le dossier TS est disponible, supprimez-le
  12. Supprimez votre ancien profile Firefox et créez-en un nouveau
  13. Allez sur Démarrer → Exécuter et entrez certmgr.msc.
  14. Appuyez sur Entrer
  15. Supprimez tous les certificats de COMODO Certificate Authority 1

Cette méthode limite la menace, mais laisse des traces.

  • 7Zip reste encore dans le système comme données indésirables, mais ce n’est pas gênant.
  • Les entrées de registres restent aussi, car elles sont maintenant inoffensives. Avec un logiciel comme CCleaner le registre peut tout de même être nettoyé.

Peu efficace sous Windows 10

Christian Margadant a, sous des conditions contrôlées, exécuté le scripte. Maintenant il peut, en toute sécurité, affirmer qu’il s’agit d’une attaque Man in the Middle. Et: le scripte est le même qu’un fichier envoyé par un expéditeur qui prétend être les CFF, mais qui est envoyé par l’expéditeur sbbclient@sbb.rs.

Les utilisateurs de Windows 10 ont de la chance. Le nouveau système d’exploitation de Microsoft reconnaît les fichiers JavaScript qui veulent exécuter le code malveillant depuis les définitions de Windows Defender v1.231.1459.0 du 08.11.2016/10:24 comme étant mauvais et empêche leur exécution. Les entrées de registre ne sont, elles aussi, pas faites et les certificats sont seulement installés une fois l’accord de l’utilisateur donné.

User

Dominik Bärlocher

Journaliste. Auteur. Pirate. Mes thèmes se tournent souvent autour d'Android ou d'Apple iOS. J'attache aussi beaucoup d'importance à la sécurité informatique, car la sécurité des données n'est, de nos jours, plus un détail insignifiant, mais bien une stratégie de survie.

Commentaires 82

User diego.romero

well done, csi:digitec. horation caine würd seine sonnenbrille vor euch ziehen!

16.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User luberg

Versprochen und geliefert :-)

16.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User Twosaabs

Very interesting! Thank you guys for taking the time and open approach to investigate and explain your findings. You're a fresh change from the usual way companies handle such issues!

17.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User a.fulgens.87

... and to give detailed instructions how to mitigate the issue, if you are infected. Kudos!

20.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User Baktun

Sehr interessant. Gute Arbeit!

17.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User elawem

Digitec proves once again its commitment towards the transparency policy. I highly appreciate this effort.

08.12.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User jeevanandk

Erlebe ich gerade, wie Digitec zur besten Schweizer IT-News-Seite mutiert? Interessanter Artikel in dem viel Arbeit steckt, in 4 Sprachen übersetzt. Dagegen ist 20Min Digital ein Teenie-Blog!

12.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User xama100

Warum wurde denn nicht einfach eine VM verwendet? Die kann man ja einfach in den Papierkorb verschieben, sollte was schief gehen.
Wäre zumindest weniger Aufwand als den Laptop neu aufzusetzen. Just saying ..

16.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User Drachenherz

Weil es gewisse Schadsoftware gibt, die erkennen kann, dass sie in einer VM-Umgebung ist und dann den bösartigen Code nicht ausführt - und somit unter Umständen nicht analysiert werden kann.

17.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User Anonymous

Sobald du aus der VM auf das Netzwerk zugreifen kannst, kann Schadsoftware unter Umständen genau so viel Schaden anrichten wie ohne VM.

15.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User Brexl

@Anonymous
Du kannst der VM ja kein Netzwerkinterface geben und nur über die Konsole auf die VM Zugreifen. Ein Zugriff seitens VM in dein Netzwerk wäre dadurch ausgeschlossen, sofern nicht direkt eine Lücke im Virtualisierungs-Client ausgenutzt würde.

24.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User nicolas_07

This is a great article, thanks for taking the time to write and translate it!

Is there some sort of task force looking at cyber security in Switzerland? Seeing the profile of the targets (Swiss banks) and vectors/victims (Digitec, SBB, etc.), surely this is one of the most major attack aimed at CH

19.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User BrunelliPrime

In deed there is:
melani.admin.ch/melani/en/h...

20.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User Patrick S. aus B.

Interessanter Bericht, Danke?
Gebt Ihr dieses Wissen auch an die Strafverfolgungsbehörden oder staatliche Stellen wie MELANIE weiter?
Wie sieht es mit Anti-Virusherstellern aus?

18.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User shakaliv

Hast du den Artikel gelesen? Windows 10 ist sicher in dieser Hinsicht, da zumindest Microsoft schon in Kenntnis gesetzt ist. Man muss davon ausgehen, dass auch Namhafte Antivierenherstellter das Script als gefährlich eingestuft haben!

18.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User compr00t

Dridex, so heisst die Malware, wird seit knapp einem Jahr mit ähnlichen Pattern verbreitet. MELANIE hat auch schon Infos dazu veröffentlicht, ist also bekannt.

19.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User Patrick S. aus B.

Danke Compr00t, ich habe den Link inzwischen gefunden: melani.admin.ch/melani/de/h...
(Sorry für den Tippfehler im Namen der Meldestelle. MELANI schreibt sich ohne E am Schluss).

20.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User JSFighters

Ich habe das Mail nicht von einer SBB adresse bekommen sondern von Postfinance.cz und zwar heute

18.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User Dominik Bärlocher

Die Phisher verwenden eine Vielzahl von Adressen. Es ist also gut möglich, dass du Mails von vermeintlich grossen, schweizer Firmen erhältst, die mit einem nahezu identischen Script daherkommen.

18.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User compr00t

Das Ganze nennt sich Dridex Trojaner und hat nichts mit Digitec per se zu tun, sondern wird in unzähligen Spam-Mails verbreitet. Insofern ist das auch kein Phishing-Mail sondern Spam.

19.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User puerrom13

Spam ist Werbung.

Phishing dagegen ein Versuch an persönliche Daten zu kommen, zwecks Betrug. Das hier ist also definitiv Phishing!

Wikipedia:
Unter dem Begriff Phishing (Neologismus von fishing, engl. für ‚Angeln‘) versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Ziel des Betrugs ist es, mit den erhaltenen Daten beispielsweise Kontoplünderung zu begehen und den ent

25.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User ursdaniel

DRum habe ich für bankzahlungen einen eigenen lapi,der wird nicht zum sirfen benutzt und damit werden keine mails gelessen ,der wird wirklich nir für zahlungen benutzt,also sollte der logischerweisse auch sauber bleiben.

20.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User nevinconstantin

Amazing! Glad to see that companies still care about their customers like Digitec. The guys that found this should get a raise :)

09.12.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User 351cui

Wow sehr interessanter Aufschluss... Gut das ich Debian 8.x und ein Backup habe :}

17.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User L. Peltzer

Thank you for the detailed and well-written and even entertaining analysis of this attack nd for providing the means to repair the potential damage. Christian Margadant, Dominik Baerlocher and Digitec, we salute you!

09.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User snguyen

Long short story, after reading the report, I'm very confident now doing on-line business with you folks. Keep up good work, more new customers will come...

11.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User dudux1956

Vielen Dank für diesen Bericht: eine solche Transparenz habe ich noch nie gesehen. Gratuliere.

28.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User benidi

und wie sieht es bei mac aus?

16.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User andreas_kocher

Der Angriff wird auf einem Mac nicht einfach so funktionieren. Er verfügt über keine Registry und auch die zusätzlichen Programme sind nicht die selben. Daher könnte sich die Schadsoftware nicht auf dieselbe Weise installieren. Hier müsste das Skript explizit auch für den Mac was parat haben. Kann ich daher nicht abschliessend beurteilen. Mit dem beschriebenen Weg von Digitec wird die Software auf einem Mac aber keinen Erfolg haben können.

17.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User alain1989

Vermutlich ist diese Malware auf dem Mac unwirksam. Viele verwechseln dies jedoch mit dem Statement Mac ist generell sicherer. Das stimmt nicht wirklich, der einzige Grund warum der Mac so wenig betroffen ist, ist sein extrem geringer Marktanteil.
Niemand wird sich die Mühe machen eine Malware für ein Betriebssystem zu kreieren das nicht einmal 8% Marktanteil hat.

17.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User abibossotto

@Alain1989: Sorry, aber das ist Unsinn. Die Grundlage von macOS (ex OSX) ist Unix. Unix ist per se weniger anfällig für solche Angriffe... Das hat mit dem Marktanteil nichts zu tun. UNIX-Betriebssysteme gehen anders mit Dateien und Benutzerberechtigungen um.

17.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User Manu9511

@Abibossotto: Da stimme ich dir voll und ganz zu. Auf ca 55% aller Webserver laufen UNIX-ähnliche Betriebssysteme genauso wie auf ca 10% aller Desktop PCs und bei den Smartphones sind es ungefähr 60%. Es wäre also äusserst lukrativ Malware für UNIX-ähnliche Systeme wie macOS, BSD und Linux (Android gehört auch zu Linux) zu schreiben, um Firmen und nebenbei private Personen zu erpessen oder zu bestehlen. Microsoft hat leider etwas seltsame Vorstellungen von Sicherheit.

17.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User shakaliv

@abibossotto: Blöd nur das viele Mac-Benutzer (wie auch Windowsbenutzer) zu einfache Passwörter oder noch schlimmer gar kein Passwort benutzen...

18.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User Tobeornottobe

Super Bericht!
Verständnisfragen:
1. Wie kann die heruntergeladene Software installiert werden ohne Administratorrechten? Oder wird beim Öffnen des Anhangs ein Administratorprompt zur Bestätigung geöffnet?

17.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User Tobeornottobe

2. Bei Banken ist doch relativ einfach zu erkennen, ob ein anderes Zertifikat installiert wurde, da Banken ein Extended Validation (EV) SSL Certificates verwenden und somit der Namen im Browser zusätzlich angezeigt wird (bei Chrome z.B. rechts vom Schloss)?

17.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User Anonymous

Bei der ersten Frage kann ich dir auch gerade nicht helfen, aber ich nehme stark an, dass es irgendwelche Hintertüren gibt...
Bei der zweiten Frage jedoch: Schaust du dir jedes Mal beim E-Banking dein Zertifikat an/Bemerkst du den Namen rechts vom Schloss? Ich denke, die meisten Nutzer würden eine Änderung dort nicht bemerken.

17.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User Tobeornottobe

Seit ich weiss wie schnell ein Zertifikat erstellt ist, schaue ich jedes Mal beim E-Banking kurz auf das Schloss :)

17.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User Dominik Bärlocher

Zu deinen Fragen:

1. Die Phisher aus der vorliegenden Attacke verwenden Software, die ganz ohne Administratorenrechte auskommt. Also brauchen sie gar keine Hintertürchen oder ähnliches.

2. Das ist richtig. Doch der Schein trügt. Ich mache oft auch den Blick zum Zertifikat, aber das heisst noch lange nicht, dass das jeder tut. Wenn jeder so sicherheitsbewusst wäre, wie du und ich, dann hätte das Phishing Mail an sich schon keine Chance.

18.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User Anonymous

Es wird ein gültiges Zertifikat auf die echte Domain ausgestellt. Das Script installiert ein Root Zertifikat, darum können "die" gültige Zertifikate für jede beliebige Domain ausstellen. Du Vertraust der "bösen" CA.

18.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User artempulki

<sarcasm> Could you please also post a step-by-step instruction to install the malware on linux? </sarcasm>

18.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User compr00t

Und wieso ist Windows 10 "sicherer" als andere Windows Versionen? Es scheint ja Windows Defender zu sein der blockiert und den gibt es auch schon in früheren Versionen...

19.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User virth

Ich vermute mal, das liegt daran, dass für ältere Windows Versionen teilweise keine Updates mehr ausgeliefert werden oder vielleicht nicht alle Änderungen am Windows Defender mit älteren Windows Versionen kompatibel sind.

12.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User schaedld

Interessant wäre an der ganzen Sache, ob man als Administrator angemeldet sein muss (Registry Einträge). Die meisten lassen sich eh als Admin und geben so jedem Angreifer die Chance dies auszunützen...

20.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User Toelpel

Administratorenrechte sind nicht erforderlich, Software wird nur entpackt, RegistrySettings werden in HKCU gemacht und Zertifikat im Benutzer-Zertifikatsspeicher installiert.

28.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User bugsisnotdead

Danke

21.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User f.testa

Was passiert auf OSX? Auch gefärlich oder nicht?

23.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User Toelpel

Nein, keine Gefahr für OSX, die Schadsoftware zielt nur auf Windows-Betriebssysteme

28.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User caliskanvolkan

Very nice article and detailed explanation. Interesting to read and learn about these stuff. Great job Digitec and Dominik. Thank you.

24.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User DrYak

Once again, we Linux users are left in the dust~~~

More seriously : it's strange that they didn't try to MitM-attack also URLs of update website (antivirus, OS) to prevent update of anti-malware and virus definitions. (like blocking access to kaspersky's domain and similar)

24.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User DavideCanavesi

very cool article!

25.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User floriansch1

Super das ihr euch die Mühe gemacht habt das Ganze transparent zu machen und gut verständlich mit den Kunden teilt. Technik kann viel schützen, aber nie die Teile die beim Menschen liegen.

26.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User cdesilva

Well done for taking security seriously and taking ownership to help resolve it in this open way. A lot of companies could learn from this (I am looking at you, LinkedIn).

29.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User o.esseiva

Bravo. Hervorragender Artikel, wirklich sehr interessant.

04.12.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User drhorat

Nell'articolo non viene specificato se la possibile infezione da parte del malware colpisce solamente sistemi operativi Windows di Microsoft. Sembrerebbe di sì. Ma la domanda è d'obbligo: i sistemi operativi iOS e Linux sono a rischio?

17.12.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User drhorat

The malware is dangerous only for Microsoft Windows OS or it's possible it works on iOS or Linux, too? I don't thinks so, but I really appreciate a digitec official answer. Thanks.

17.12.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User moravanszky

Bravo Digitec! Beängstigend, auf welch sophistizierte Tools "Skript Kiddies" heutzutags zurückgreifen können. Es muss eine Revolution im E-banking stattfinden... In der Zwischenzeit finde ich banking-only (Macs), eine gesunde Attachment-phobie & möglichst wenig ungebundenes Geld die beste Lösung...

02.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User orkan

Im Bericht sind einpaar Fehler drin und einpaar irreführende Aussagen. Die GET Methode wird von der POST Methode dahingehend unterschieden, dass Anfragen mit Parameterübergabe an den Webserver in GET in Klartext als Key/Value Paar an den Webserver übergeben werden. In POST wird kodiert (Binär). -->

12.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User orkan

Es kommt hinzu, dass DARKNET nicht gleich TOR ist und umgekehrt. Zugriffe in das sogenannte Darknet werden nicht zwangsläufig über TOR-NETZ geregelt und Onion Adressen sind ohnehin nur im TOR Netz erreichbar. Darknet als solches ist reine Definitionssache während TOR technisch ein Netz darstellt.

12.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User executeur06

Bon Travail l'équipe Digitech !

16.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User sschaer01

mc afee verwendet als intermiediate certificates auch comodo zertifikate. also vorsicht beim löschen !

kc.mcafee.com/corporate/ind...

06.02.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User mstanescu

". Furthermore, the laptop contained no personal data that would have been missed should things have gone wrong – so pretty much the opposite of computers used by our customers. “At worst, I would have re-set the laptop and solved the malware problem that way.”"

how about just running a VM?

20.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User Nexissss

Some (Advanced) Maleware is able to see or even escape VM's so... better safe than sorry

03.01.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User sschaer01

just browse for "blue pill project". guess you'll re-think your vm approach afterwards....

06.02.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User mstanescu

Not really ,

the blue pill is just a rootkit which is going to virtualize the OS which is running it however if the OS is running in a VM there's not much it can do.

A malicious code could escape the VM if the VM has a security hole.

07.02.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

User mstanescu

So your stack would be

infectedOS
bluepill VM
VMware VM
clean OS

07.02.2017
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User Sokarow

This is a very good article but I have a, probably stupid, question: were MacOS users targeted by the attack? Thank you in advance for the answer!

07.12.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User Dominik Bärlocher

Hi there

This particular attack is not effective on Mac as it relies on Windows file formats with installers and certain key functionalities. As another commenter pointed out, that does not mean that Macs are generally more secure, even though - as another commenter says - its Unix base does give it a slight edge.

What I'm trying to say is that even though this particular phishing attack doesn't appear to have any Mac specific components does not mean that Macs are invulnerable to phishing. It's still heavily recommended that you don't open dodgy mails or attachments that seem somewhat odd.

08.12.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User R3lay

Was bringt das dann? Es verwenden ja alle Banken eine 2-Faktor-Authentifizierung mit Einmalcode, zB bei der UBS würde der Angreifer gerade mal meine Vertragsnummer rausfinden.

16.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User Anonymous

Ja. Wenn du dich Erfolgreich ein Logst, könntest du auf eine "Fake" seite umgeleitet werden.
Währenddessen könnte theoretischen was abgebucht werden.
Aber vermutlich Nicht in diesem fall. Aber ein Provi...

17.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User andreas_kocher

Es geht darum, dass die komplette Verbindung zwischen deinem Computer und der Bank mitgelesen wird. Das ist wie wenn du einen Brief zuklebst und er unterwegs geöffnet und wieder verklebt wird. Daher kann der Angreifer sehr wohl mitmischen, sobald du dich erfolgreich im E-Banking eingeloggt hast. Die Zwei-Weg-Authentifizierung hilft hier also nicht wirklich was.

17.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User SRR24x7

" «Im schlimmsten Falle hätte ich den Laptop einfach wieder neu aufgesetzt und das Problem der Malware wäre damit behoben.»
Scheinbar noch nie einen wirklich guten Virus gesehen? Habe schon Schädlinge gesehen die sich im Speicher von Komponenten eingenistet haben, da hilft sowas nicht.

20.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.

User Anonymous

"Detail" am Rande - das ist nicht mal Ansatzweise man ind the middle. Hier geht es darum Passwörter abzureifen.
Es wird eine gefälschte Loginseite auf ubs.com oder whatever eingerichtet. Mit gültigem Zertifikat, grünem Balken und und was dazu gehört. Root Zertifikat, TOR und Proxy - clever gemacht.

17.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User Softloader

"Denn Proxifier wird mit einem Profil versehen. Es leitet Anfragen an bestimmte Websites über eine von Dritten kontrollierte Route weiter. Diese sind:" Ab da ist es MITM Attack. Sollte logisch nachvollziehbar sein. Die Daten gehen von User 1 -> Router (Hacker) -> Bank. Man in the "middle".

17.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User Anonymous

Ja, da gebe ich dir recht, ABER ich kenne das Teil, das funktioniert (noch) nicht so.
Statt MITM wird dir eine andere Loginseite angezeigt. Es geht schlicht und einfach darum User und PW abzugreifen. Dank 2 factor authentication nicht ganz so tragisch.

Aus der Ausgangslage kann man aber eine schöne MITM basteln.

17.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User Softloader

Ich weiss was Du meinst. Was Du aber mit deinem Login und der falschen Seite ansprichst ist die Phishing Methode und hier kombiniert mit einer MITM. Mann kann logischerweise auch einfach eine Phishing Seite einrichten und dann Digitex.ch nennen und hoffen es verschreiben sich viele Personen denen die Domain dann nicht auffällt. Dann wäre es keine MITM aber ein direkter Phishing 'Angriff'. Da diese Methode, hier beschrieben, aber ausgefeilter ist, kommt die MITM als Kombination gelegen.

18.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User Anonymous

Nein, der Traffic landet nie beim eigentlichen Ziel. Nur weil da eine Proxy verwendet wird ist es noch lange keine MITM. Bei der MITM Attacke kommunizierst du mit dem "echten" Ziel und jemand hört mit. Das ist hier nicht der Fall....

18.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

User compr00t

Falsch. MITM heisst es ist jemand in der Mitte. Er kann mitlesen, verändern oder blockieren. Selbst wenn er Traffic komplett blockiert, bleibt es MITM.

19.11.2016
Signaler un abus

Vous devez être connecté pour signaler un abus.

Vous devez être connecté pour répondre à un commentaire.


Veuillez vous connecter.

Vous devez être connecté pour écrire un commentaire.

Corporate logo