Internetprovider schieben Opfern Malware unter

Sith Nagetier · 22. September 2017

Internetprovider schieben Nutzern Malware unter

Hallo.

Habt ihr den Artikel schon gelesen?
"Internetprovider schieben Spitzelopfern Malware unter"
Da ich nicht weiß ob man hier auf andere Seiten verlinken darf googelt einfach dazu das obige Zitat.

Heute scheint man echt bei keinem bissel mehr auch nur etwas Sicherheit zu haben. Man will sich also kleinere Programme wie Media-Player, Tools oder Co. herunterladen und wird dann umgeleitet (der Weg zum Download von dem man selber wenig mitbekommt) direkt vom Provider mit Maleware versorgt die auch keinen Verdacht erweckt. Schon Hammer da auch scheinbar nichts dagegen hilft!? Die manipulierten Dateiken sind dann, wie aktuell im Fall vom CCleaner, ordentlich signiert und fallen auch sonst nicht auf.

Das ganze soll wohl schon länger so gegangen sein (nachdem was man so liest).

Hattet ihr sowas schon mal erlebt bzw. selbst wenn dann wüßte man davon wohl nichts!?
Da überlegt man sich doch seinen Internetzugang ganz dicht zu machen. Ich meine hier ist ja auch nichts mehr mit "vorsichtig vorgehen" zu schaffen.

d3nso · 22. September 2017

Wow ein völlig aus der Luft gegriffenes Zitat, Quelle dazu?
Falls du dazu auf die CCleaner Panne anspielen willst da hatten doch die Provider nix damit zu tun?

von Schnitzel · 22. September 2017

Es ist unwahrscheinlich, dass der Provider einen Umleitet. Ich kann dir aber sagen, dass die Betreffenden sich wohl eher selbst irgendwas eingefangen haben, was dann die Umleitung auf dem Rechner selbst durchführt.

@d3nso
Geile Signatur

Darkblade08 · 22. September 2017

Sith Nagetier biezieht sich wahrscheinlich darauf https://www.heise.de/security/meldu...eben-Spitzelopfern-Malware-unter-3837645.html

Und ja, nichts neues. Das Konzept ist bereits länger bekannt. Interessant ist halt, dass das nun angewendet und bekannt wurde.

Skeidinho · 22. September 2017

Solche unnützen Programme einfach nicht nutzen und herunterladen und einfach Open-Source-Software verwenden aus offiziellen Quellen.

Selbst schuld wenn die Nutzer Downloader wie chip.de oder sonstige verwenden. Immer den Kopf im Internet einschalten.

bossbeelze · 22. September 2017

die betreffende FinFisher-Variante bislang schätzungsweise über 100 Mal in mindestens sieben Ländern installiert. Die Angriffe seien nicht großflächig, sondern sehr gezielt erfolgt.

Sieht mir sehr nach Ermittlungsbehörden aus.

d3nso · 22. September 2017

Skeidinho schrieb:
Solche unnützen Programme einfach nicht nutzen und herunterladen und einfach Open-Source-Software verwenden aus offiziellen Quellen.

Selbst schuld wenn die Nutzer Downloader wie chip.de oder sonstige verwenden. Immer den Kopf im Internet einschalten.

Und was bringt dir das wenn wie im Artikel erwähnt der Provider deine Anfrage auf einen "dreckigen" Downloadserver umleitet wovon du garnichts mitbekommst?

Sith Nagetier · 22. September 2017

@Darkblade08

Genau auf den Artikel habe ich mich bezogen. Ich wollte ihn auch verlinken wußte nur grade nicht ob das erlaubt ist da CB ja eine eigene News-Seite hat. Danke.

Es geht hierbei ja auch gar nicht um irgendwelche dubiosen Tools von irgendwelchen Drittanbietern sondern um ganz gewöhnliche Tools/Software die man im Alltag nutzt und beim Download eine Umleitung passiert, direkt durch den Provider (also egal ob man von offizieller Seite lädt).

Und diese verseuchte Software ist dann sauber signiert und soll auch funktionieren. Wie soll man danoch irgendetwas erkennen ob man da jetzt etwas sauberes hat oder nicht.

indikator · 22. September 2017

Skeidinho schrieb:
Solche unnützen Programme einfach nicht nutzen und herunterladen und einfach Open-Source-Software verwenden aus offiziellen Quellen.

Selbst schuld wenn die Nutzer Downloader wie chip.de oder sonstige verwenden. Immer den Kopf im Internet einschalten.

Sei mal nicht so herablassend... Ist wie wenn ich sagen würde:"Bist bestimmt ein Linux-Admin, der weiß immer alles besser."

Lass mich dein Provider sein,
Ich leite deine von dir angeklickten Download von deiner offiziellen quelle um...

Oder:
Offizelle Seite: https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html

Wenn du auf
https://the.earth.li/~sgtatham/putty/latest/w32/putty-0.70-installer.msi aber klickst, hat dein Provider für dich eine HTTP 307 hinterlegt auf
https://bischdbstimmtalinuxadmin.org/finfisher-putty/putty-0.70-installer.msi

Lesen, Verstehen, Anwenden...

derlorenz · 22. September 2017

Skeidinho schrieb:
Solche unnützen Programme einfach nicht nutzen und herunterladen und einfach Open-Source-Software verwenden aus offiziellen Quellen.

Selbst schuld wenn die Nutzer Downloader wie chip.de oder sonstige verwenden. Immer den Kopf im Internet einschalten.

Die im Heise-Artikel beschriebenen Tools sind auch nicht so unnütz ^^

DeusoftheWired · 22. September 2017

Wenn ausschließlich die Umleitung kontrolliert wird, kann man feststellen, daß man nicht die beabsichtigte, sondern eine andere Datei erhalten hat, indem man den Hashwert der heruntergeladenen Datei mit dem Hash vergleicht, der auf der Projektseite veröffentlicht ist.

Ist noch anderes wie DNS unter Kontrolle der Angreifer, kann man dem Opfer z. B. eine gefälschte Projektseite unterjubeln, auf der der Hash der bösen Datei steht.

Samurai76 · 22. September 2017

Skeidinho schrieb:
Solche unnützen Programme einfach nicht nutzen und herunterladen und einfach Open-Source-Software verwenden aus offiziellen Quellen.

Selbst schuld wenn die Nutzer Downloader wie chip.de oder sonstige verwenden. Immer den Kopf im Internet einschalten.

Vor dem Posten im Internet sollte man auch kurz sein Hirn anwerfen und kurz darüber nachdenken. Keine Ahnung vom Thema aber erst mal was dazu schreiben.

Yuuri · 22. September 2017

@ DeusoftheWired: Und das bringt genau was? Der Provider schiebt dir also ne andere Datei unter, aber ist zu dämlich die Checksumme gleich mit zu ändern?

DeusoftheWired · 22. September 2017

Dafür muß er einen bösen Klon der Seite betreiben und auf dieser den Hash der falschen Datei darstellen.

Grundsätzlich hast du aber recht; wenn ich https://ftp.fau.de/videolan/vlc/2.2.6/win32/vlc-2.2.6-win32.exe auf https://www.finfisher.com/FinFisher/vlc-2.2.6-win32.exe umbiegen kann, dann kann ich auch Seiten mit präpariertem Hash darstellen.

Suche

Internetprovider schieben Opfern Malware unter

Sith Nagetier

Cadet 3rd Year

d3nso

Captain

von Schnitzel

Captain

Darkblade08

Commodore

Skeidinho

Commander

bossbeelze

Captain

d3nso

Captain

Sith Nagetier

Cadet 3rd Year

indikator

Cadet 3rd Year

derlorenz

Commander

DeusoftheWired

Fleet Admiral

Samurai76

Commodore

Yuuri

Fleet Admiral

DeusoftheWired

Fleet Admiral