Scarlett Johansson-malware besmet PostgreSQL-servers

Dat er een afbeelding wordt gebruikt om een malware slachtoffer te maken, is niks nieuws. Maar de nieuwe afbeelding die wordt gebruikt, is wel heel specifiek en herkenbaar. Niemand minder dan actrice Scarlett Johansson staat op de afbeelding die mensen binnen kunnen krijgen. Klik je erop dan heb je kans dat er een Monero cryptocurrency- miner wordt geïnstalleerd.

Volgens het beveiligingsbedrijf Imperva heeft hun StickyDB- databasebeheersysteem (DBMS) honeypot een aanval ontdekt die malware plaatst op PostgreSQL DBMS-servers. De afbeelding van Hollywood- actrice Scarlett Johansson wordt daarvoor gebruikt, aldus ZDNet.com.

Nu zou je je kunnen afvragen: ‘Hoeveel PostgreSQL DBMS-servers zijn er nou eigenlijk op internet om aangevallen te worden?’ Het antwoord daarop luidt: ‘Meer dan je zou verwachten.’

Een zoekopdracht van Shodan onthulde bijna 710.000 PostgreSQL- servers die gehackt konden worden. Het lijkt erop dat er zoveel zijn, omdat het veel te gemakkelijk is, vooral op Amazon Web Services (AWS) om PostgreSQL-servers in te stellen zonder beveiliging.

Zodra een slachtoffer de afbeelding heeft gedownload, probeert het een weg te vinden naar de DBMS. Omdat een PostgreSQL-instantie in de eerste plaats niet zomaar op internet hoeft te staan, is de kans groot dat het ook op andere manieren niet is beveiligd. Een gecompromitteerd systeem gebruikt dan PostgreSQL om Linux- of Unix-shellopdrachten te geven om een Monero cryptocurrency- miner te installeren.

Het probeert zich vervolgens niet alleen te verspreiden naar andere targets maar het programma kijkt vervolgens ook of de server toegang heeft tot een GPU. Als dit lukt, merk je daar misschien niks van tot de maandelijkse cloudrekening ineens een stuk hoger uitvalt dan verwacht. Vertrouw je op een antivirusprogramma om dit te voorkomen? Volgens Impervia kunnen de meeste antivirusprogramma’s deze aanval niet opsporen.