Geloof niet alles wat je ziet op Twitter en GitHub. Er circuleren valse proof-of-concepts van kwetsbaarheden, die een sluwe truc zijn om malware op je apparaat te krijgen.
Onderzoekers van cybersecuritybedrijf Vulncheck kwam deze sluwe praktijk op het spoor in mei. Ze ontdekten een reeks bijdragen over zerodays in veelgebruikte applicaties zoals Whatsapp, Signal, Discord, Microsoft Exchange en Google Chrome. Maar je kan al raden dat ze zogezegde patches net het omgekeerde deden en het apparaat van wie het bestand downloadde, bestookten met malware.
lees ook
Cactus-ransomware versleutelt zichzelf om onder de radar te blijven
Valse Twitter-profielen
Het gaat verder dan valse bijdragen posten op GitHub. De hackers maakten ook een Twitter-account aan voor een fictief bedrijf genaamd High Sierra Cyber Security. Iedere ‘onderzoeker’ had ook een eigen profiel, vaak met naam en/of profielfoto van cybersecurityexperts van erkende bedrijven uit de sector. Zet het stereotiepe beeld van de hacker met capuchon die vanuit zijn kelder opereert maar uit je hoofd. Hackers doen zich tegenwoordig voor als ‘de goeden’.
Via Twitter maakten ze reclame voor de malwarebestanden op GitHub en gaven ze zichzelf een legitiem aanzicht (zie onderstaande afbeelding). De profielen zijn overigens nog altijd actief.
Nadat Vulncheck GitHub op de hoogte bracht van wat er gaande was, trad het opensourceplatform kordaat op en werden de bijdragen onmiddellijk verwijderd. Toch sluit Vulncheck niet uit dat de campagne al veel langer aan de gang was. Het is niet duidelijk hoeveel slachtoffers op deze manier kunnen zijn gemaakt.
Doe wat je zegt
Dit voorval drukt cybersecurityonderzoekers met de neus op de feiten. Een gewone sterveling gaat normaal gezien niet een proof-of-concept van een zeroday binnenhalen om meer te weten te komen. De aanval was dan ook vooral gericht op beveiligingsexperts met een interesse in andermans werk. Als experten tot vervelens toe herhalen dat we niet zonder nadenken op een link mogen klikken, dan geldt dat advies ook voor hen.