Nieuw soort cyberaanval met ‘fake COVID-19 informatie app’

Op 19 maart informeerden we over het toenemend aantal cyberaanvallen waarbij cybercriminelen inspelen op de ‘corona-angst’. Verschillende Windowsgebruikers melden nu dat zij slachtoffer zijn van een nieuwe cyberaanval, waarbij de hackers de DNS-instellingen van de router aanpassen en een fake COVID-19 informatie app (zie ook dit nieuwsbericht) als download aanbieden. Deze download fungeert als een ‘paard van Troje’, met alle gevolgen van dien.

Aanval via DNS

Laten we beginnen met toelichten wat een DNS (Domain Name Server) is. Een DNS kunt u zien als een telefoonboek die ervoor zorgt dat u gewoon naar een website (www.google.nl) kunt gaan in plaats van het IP-adres (bijv. 8.8.8.8) in te voeren. De DNS koppelt het juiste domein aan het bijbehorende IP-adres.

Zoals in de intro vermeld worden de DNS-instellingen van de router aangepast door de hackers. Door deze aanpassingen kunnen hackers doorverwijzen naar een andere website. Op deze andere website laten zij waarschuwingen in de webbrowser weergeven waarin een fake COVID-19 informatie app van de WHO wordt aangeboden. Op dit moment is nog niet bekend hoe de aanvallers toegang krijgen tot de routers. Wel geven enkele gebruikers aan dat ze een zwak admin-wachtwoord hadden.

Valse download als ‘paard van Troje’

Onderstaand ziet u een voorbeeld van de aangeboden download van de hackers.

Als een gebruiker de applicatie downloadt en installeert, zal in plaats van de genoemde COVID-19-informatie app, de Vidar-informatie-stelende Trojan op de computer worden geïnstalleerd. Hiermee steelt de hacker de volgende gegevens:

• browsercookies
• browsergeschiedenis
• browser betalingsgegevens
• opgeslagen inloggegevens
• portefeuilles met cryptocurrency
• tekstbestanden
• browserformulier informatie voor automatisch aanvullen
• Authy 2FA authenticator-databases
• een screenshot van uw bureaublad op het moment van infectie en meer.

Alsof dat nog niet erg genoeg is, wordt deze informatie geüpload naar een externe server. De aanvallers verzamelen en gebruiken deze informatie om verdere aanvallen op online accounts uit te voeren. Het gevolg: geld verdwijnt van de bankrekeningen, identiteitsdiefstal en/of verdere phishing aanvallen.

Trap er niet in! Download deze ‘app’ niet!

Wat u moet doen als u door deze aanval wordt getroffen

Als uw browser willekeurig opent naar een pagina die een COVID-19-informatie-app promoot betekent dit dat hackers de instellingen in uw DNS-server hebben aangepast. Om dit te herstellen moet u inloggen op uw router en ervoor zorgen dat u deze configureert om automatisch de DNS-server van uw internetprovider te ontvangen. Dit verschilt per router, daarom geven we de globale stappen weer:

1. Log in op uw router (hiervoor heeft u het IP-adres nodig van uw router. Deze vindt u door op de ‘Windows-toets’ te drukken, ‘CMD’ in te geven, vervolgens ‘Opdrachtprompt’ uit te voeren. Geef in het volgende scherm ‘IPCONFIG’ in en druk op enter. Onder het kopje ‘Default Gateway’ vindt u het ip-adres van uw router.
   Als u dit IP-adres invult in uw browser, kunt u inloggen op uw router.
2. Zoek de DNS-instellingen en zorg ervoor dat er geen servers , met name 109.234.35.230 en 94.103.82.249, handmatig geconfigureerd zijn. Als dat het geval is, stelt u de DNS-servers in op ‘Automatisch’ of ‘ISP toegewezen’.
3. Sla vervolgens uw configuratie op.
4. Klaar. Start uw mobiele apparaten, gameconsoles en computers opnieuw op, zodat ze de juiste DNS-instellingen van uw internetprovider gebruiken.

Extra tips:

• Heeft u een zwak wachtwoord? Zorg dan dat u deze wijzigt in een sterk wachtwoord!
• Heeft u de COVID-19-app al gedownload en geïnstalleerd? Scan dan onmiddellijk uw computer op malware. Na de ‘schoonmaak’ dient u uw opgeslagen wachtwoorden te wijzigen om verdere gevolgen te voorkomen.

Blue Socks: scan uw uitgaande netwerkverkeer

Lagarde Groep biedt een oplossing om dergelijke cyberaanvallen tegen te gaan. Met de ‘Blue Socks’ oplossing wordt een sensor in uw netwerk geplaatst die continu uw netwerkverkeer scant op verdacht of afwijkend gedrag. Waar firewalls, virusscanners en anti-malware uw binnenkomende netwerkverkeer scannen, scant deze netwerksensor het uitgaande netwerkverkeer, ofwel de mogelijke datalekken! Bij kwaadaardig gedrag binnen uw netwerkomgeving krijgt u direct alarm. Zo weet u spoedig of een hacker binnen uw netwerk actief is en kunt u tijdig maatregelen nemen. Op deze manier wordt uw netwerk 24×7 gemonitord en wordt kwaadwillend gedrag direct gedetecteerd. Zie het als een camerasysteem, alleen dan voor uw digitale omgeving.

Wilt u voorkomen dat u slachtoffer wordt deze of één van de andere cyberaanvallen? Of bent u mogelijk al slachtoffer en wilt u hier actie op ondernemen? Neem dan contact met ons op. Wij helpen u graag!