Nieuw soort cyberaanval met ‘fake COVID-19 informatie app’

door | 24 maart 2020 | Nieuws

Op 19 maart informeerden we over het toenemend aantal cyberaanvallen waarbij cybercriminelen inspelen op de ‘corona-angst’. Verschillende Windowsgebruikers melden nu…

Op 19 maart informeerden we over het toenemend aantal cyberaanvallen waarbij cybercriminelen inspelen op de ‘corona-angst’. Verschillende Windowsgebruikers melden nu dat zij slachtoffer zijn van een nieuwe cyberaanval, waarbij de hackers de DNS-instellingen van de router aanpassen en een fake COVID-19 informatie app (zie ook dit nieuwsbericht) als download aanbieden. Deze download fungeert als een ‘paard van Troje’, met alle gevolgen van dien.

Aanval via DNS

Laten we beginnen met toelichten wat een DNS (Domain Name Server) is. Een DNS kunt u zien als een telefoonboek die ervoor zorgt dat u gewoon naar een website (www.google.nl) kunt gaan in plaats van het IP-adres (bijv. 8.8.8.8) in te voeren. De DNS koppelt het juiste domein aan het bijbehorende IP-adres.

Zoals in de intro vermeld worden de DNS-instellingen van de router aangepast door de hackers. Door deze aanpassingen kunnen hackers doorverwijzen naar een andere website. Op deze andere website laten zij waarschuwingen in de webbrowser weergeven waarin een fake COVID-19 informatie app van de WHO wordt aangeboden. Op dit moment is nog niet bekend hoe de aanvallers toegang krijgen tot de routers. Wel geven enkele gebruikers aan dat ze een zwak admin-wachtwoord hadden.

Valse download als ‘paard van Troje’

Onderstaand ziet u een voorbeeld van de aangeboden download van de hackers.

Covid 19 app malware

Als een gebruiker de applicatie downloadt en installeert, zal in plaats van de genoemde COVID-19-informatie app, de Vidar-informatie-stelende Trojan op de computer worden geïnstalleerd. Hiermee steelt de hacker de volgende gegevens:

  • browsercookies
  • browsergeschiedenis
  • browser betalingsgegevens
  • opgeslagen inloggegevens
  • portefeuilles met cryptocurrency
  • tekstbestanden
  • browserformulier informatie voor automatisch aanvullen
  • Authy 2FA authenticator-databases
  • een screenshot van uw bureaublad op het moment van infectie en meer.

Alsof dat nog niet erg genoeg is, wordt deze informatie geüpload naar een externe server. De aanvallers verzamelen en gebruiken deze informatie om verdere aanvallen op online accounts uit te voeren. Het gevolg: geld verdwijnt van de bankrekeningen, identiteitsdiefstal en/of verdere phishing aanvallen.

Trap er niet in! Download deze ‘app’ niet!

Wat u moet doen als u door deze aanval wordt getroffen

Als uw browser willekeurig opent naar een pagina die een COVID-19-informatie-app promoot betekent dit dat hackers de instellingen in uw DNS-server hebben aangepast. Om dit te herstellen moet u inloggen op uw router en ervoor zorgen dat u deze configureert om automatisch de DNS-server van uw internetprovider te ontvangen. Dit verschilt per router, daarom geven we de globale stappen weer:

  1. Log in op uw router (hiervoor heeft u het IP-adres nodig van uw router. Deze vindt u door op de ‘Windows-toets’ te drukken, ‘CMD’ in te geven, vervolgens ‘Opdrachtprompt’ uit te voeren. Geef in het volgende scherm ‘IPCONFIG’ in en druk op enter. Onder het kopje ‘Default Gateway’ vindt u het ip-adres van uw router.
    Als u dit IP-adres invult in uw browser, kunt u inloggen op uw router.
  2. Zoek de DNS-instellingen en zorg ervoor dat er geen servers , met name 109.234.35.230 en 94.103.82.249, handmatig geconfigureerd zijn. Als dat het geval is, stelt u de DNS-servers in op ‘Automatisch’ of ‘ISP toegewezen’.
  3. Sla vervolgens uw configuratie op.
  4. Klaar. Start uw mobiele apparaten, gameconsoles en computers opnieuw op, zodat ze de juiste DNS-instellingen van uw internetprovider gebruiken.

Extra tips:

  • Heeft u een zwak wachtwoord? Zorg dan dat u deze wijzigt in een sterk wachtwoord!
  • Heeft u de COVID-19-app al gedownload en geïnstalleerd? Scan dan onmiddellijk uw computer op malware. Na de ‘schoonmaak’ dient u uw opgeslagen wachtwoorden te wijzigen om verdere gevolgen te voorkomen.

Blue Socks: scan uw uitgaande netwerkverkeer

Lagarde Groep biedt een oplossing om dergelijke cyberaanvallen tegen te gaan. Met de ‘Blue Socks’ oplossing wordt een sensor in uw netwerk geplaatst die continu uw netwerkverkeer scant op verdacht of afwijkend gedrag. Waar firewalls, virusscanners en anti-malware uw binnenkomende netwerkverkeer scannen, scant deze netwerksensor het uitgaande netwerkverkeer, ofwel de mogelijke datalekken! Bij kwaadaardig gedrag binnen uw netwerkomgeving krijgt u direct alarm. Zo weet u spoedig of een hacker binnen uw netwerk actief is en kunt u tijdig maatregelen nemen. Op deze manier wordt uw netwerk 24×7 gemonitord en wordt kwaadwillend gedrag direct gedetecteerd. Zie het als een camerasysteem, alleen dan voor uw digitale omgeving.

Wilt u voorkomen dat u slachtoffer wordt deze of één van de andere cyberaanvallen? Of bent u mogelijk al slachtoffer en wilt u hier actie op ondernemen? Neem dan contact met ons op. Wij helpen u graag!

Ontvang meer informatie

.et_pb_contact_form_0.et_pb_contact_form_container .input{color:white!important}

Door Lagarde Groep

Eén aanspreekpunt voor ICT, Communicatie en Beveiliging. Dát is Lagarde Groep. Wilt u zorgeloos en efficiënt (online) samenwerken in een veilige werkomgeving? De oplossingen van Lagarde Groep helpen sinds 1991 honderden organisaties hun doelen beter en sneller te bereiken.

Bekijk onze gerelateerde nieuwsberichten

IN MEMORIAM: Gert Wassink

IN MEMORIAM: Gert Wassink

Zaterdag ontvingen wij het droevige nieuws dat onze gewaardeerde en betrokken collega Gert Wassink is overleden. Helaas is na een periode van rust in het najaar van 2018 opnieuw kanker bij Gert geconstateerd. Eind 2019 werd bekend dat verdere behandeling niet meer...

Lees meer
Nieuwe dienst: Microsoft Teams Telefonie

Nieuwe dienst: Microsoft Teams Telefonie

Lagarde Groep introduceert een nieuwe dienst: Microsoft Teams telefonie. Klanten kunnen hiermee hun bestaande telefooncentrale uitbreiden met Microsoft Teams telefonie óf volledig over op bellen via Microsoft Teams. Intern én extern bellen via Microsoft Teams Nu...

Lees meer
0 reacties

Een reactie versturen

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt advertentiecookies. Door op 'Oké, sluiten' te klikken geeft u hiervoor toestemming. Kies ‘Instellingen wijzigen’ voor meer informatie of om uw instellingen aan te passen.
Annuleren