Home > Blog & nieuws > Curiosity killed the cat

Curiosity killed the cat

Heeft u ooit ergens een USB-stick gevonden en uzelf afgevraagd wat erop zou staan? Trap niet in de val en laat uw nieuwsgierigheid niet de bovenhand krijgen!

Heeft u ooit ergens een USB-stick gevonden en uzelf afgevraagd wat erop zou staan? Begrijpelijk. Het is zeer verleidelijk om de stick in uw laptop te steken en even rond te kijken. Zelfs wanneer u de beste bedoelingen heeft en graag wil uitzoeken van wie de USB-stick kan zijn, is het een gevaarlijk spelletje.

 

Wat is Gamarue?

Gamarue is een malware familie die gebruikt wordt als onderdeel van een ‘botnet’. De software is ontworpen om uw computer en computersysteem te beschadigen of vernietigen. Wanneer men meerdere besmette toestellen met elkaar verbindt, krijgt men een ‘botnet’. Die geïnfecteerde toestellen worden vanop afstand bediend door de hacker via een command-and-control server.

 

Gamarue staat ook bekend als Wauchos en Andromeda bot. Een ‘bot’ is eigenlijk een programma die het voor een hacker mogelijk maakt om de controle over een geïnfecteerd toestel over te nemen. Zoals vele andere bots, wordt Gamarue verkocht als een eenvoudige crime kit.

 

In 2017 slaagde Microsoft erin om, met de hulp van wetshandhaving diensten, deze malware familie in te perken. Tot dan verspreidde Gamarue zich wereldwijd razendsnel en infecteerde het meer dan een miljoen endpoints per maand. Ondanks de ingreep van Microsoft is Gamarue nog steeds niet te stoppen. In januari 2023 verklaarde Redcanary deze malware de 4de meest belangrijke bedreiging van het moment.

 

Curiosity killed the cat

Een werknemer bij één van onze klanten vond een rondslingerende USB-stick en stopte hem in zijn computer om uit te zoeken van die de stick was. De USB bevatte de Gamarue-malware als wormvariant. Een worm is een soort virus dat zichzelf repliceert over het netwerk. Het infecteert tal van kwetsbare systemen en voert kwaadaardige instructies uit zonder menselijk tussenkomst.

 

Helaas was de worm bewust vermomd als een legitiem bestand, waardoor de gebruiker misleid werd om op het bestand te klikken. Een kwaadaardige DLL-file begint te downloaden op de computer. Zodra dit gelukt is, zal het zichzelf injecteren in het Windows installatieprogramma en connecteren met het internet. Op deze manier kan de hacker vanop afstand het besmette toestel bedienen en bijvoorbeeld een Distributed Denial of Service (DDOS) aanval uitvoeren om het volledige netwerk te saboteren, of kan hij andere malware loslaten in het systeem.

 

En dan nu het goede nieuws

Gelukkig werd de malware al zeer snel tegengehouden. Zodra Cortex XDR zag dat de malware een verdachte DLL-file wou downloaden, werd deze meteen gestopt. Hoewel de naam een weggever was om de malware te herkennen, mogen we het niet onderschatten. Omdat Gamarue telkens een andere DLL gebruikt, was de file hash niet gekend.

 

Het malwarerapport van WildFire vermeldde wel dat de ImpHash (import hash) overeenkwam met een familie van gekende malware. Deze import hash kon dan getraceerd worden naar een soort worm die via USB-sticks aangeleverd wordt. Zodra deze geïdentificeerd werd als Gamarue was het meteen duidelijk dat de worm zou geprobeerd hebben om te connecteren met een C2 server, waar de DLL niet geblokkeerd wordt door de endpoint protection.

Spotit adviseerde de klant om de USB-stick opnieuw te formatteren om de malware volledig te wissen van de stick.

 

Hoe kunt u zichzelf beschermen tegen Gamarue en andere malware?

  • Schakel de functie ‘USB Autorun’ uit. Het zou een aanval zoals dit niet voorkomen, maar het is en blijft een goede praktijk. Open uw Windows instellingen en zoek op AutoPlay. Uw IT-team kan dit zelfs als een groepspolicy implementeren in Windows, waardoor deze functie meteen op alle Windowstoestellen binnen de organisatie uitgeschakeld wordt.
  • Bewustmaking bij gebruikers. Verspreid het als een mantra: gebruik geen USB-sticks die niet van jezelf zijn of als je niet 100% zeker weet wat erop staat! Bekijk ons awareness programma op maat.
  • Cortex XDR. Maak gebruik van een XDR om dit soort aanvallen te detecteren en voorkomen.
  • Spotit SOC. Ons managed SOC monitort 24/7 uw omgeving en grijpt in voordat er enige schade ontstaat.