Phishing mail - graag uitleg bij cuckoo cert analyse - Privacy en beveiliging

woensdag 19 juni 2024 10:34

Acties:

0 Henk 'm!

Topicstarter

Een collega ontving een mail van een collega van een andere betrouwbare organisatie, dacht dat er een bestand was meegestuurd via downloadlink, heeft op die link geklikt en vervolgens het bestand (pdf.html) gedownload en geopend in Chrome. Vervolgens gebeurde er niks....

Ik heb het bestand geupload naar Cuckoo voor analyse, en inmiddels is die beschikbaar. Ik heb alleen geen idee wat nu het risico is, en wat ik moet doen. Ik werk in een kleine organisatie, doe IT in deeltijd erbij, weet er het nodige vanaf, maar dit is niet mijn expertise.

https://cuckoo.cert.ee/analysis/5037171/summary/

In grove lijnen is de netwerk-setup die we hier gebruiken als volgt:

1) Windows Pro laptops met MS Defender
2) Unifi router met Client Device Isolation voor de laptops en telefoons
3) Linux samba server
4) Netwerk printer
5) Google Workspace voor oa email

Mijn vragen

1) Kunnen jullie beoordelen of dit soort phishing-aanvallen verder gaan dan de browser?
2) Als de hele cache van de browser gewist is, is daarmee alles weg?
3) Bestaat de kans dat Windows geïnfecteerd is?
4) Is er risico voor andere systemen hier op het netwerk, of (eigenlijk erger want niet beheersbaar) computers bij medewerkers thuis?

Mocht ik iets missen, alle suggesties zijn welkom.

[ Voor 3% gewijzigd door sumac op 19-06-2024 10:39 ]

woensdag 19 juni 2024 11:58

Acties:

+1 Henk 'm!

chromeeh

the Gnome

Ik heb de hash van het bestand welk in dat rapport genoemd staat eens door VirusTotal gegooid.
Zie hier de uitkomst van de sandbox.

Ik denk dat je nog wel het ea. aan scan / opruim werk hebt.
In ieder geval beginnen met die machine z.s.m. van het web / netwerk en account / MFA reset.

"Some day, I hope to find the nuggets on a chicken."

woensdag 19 juni 2024 12:12

Acties:

+1 Henk 'm!

dutchgio

Zie:
https://www.forcepoint.co...ing-pdf-viewer-login-apac
https://www.trellix.com/b...html-attachment-phishing/

De screenshots van Cuckoo laten het niet volledig zien maar het lijkt op het voorbeeld vanuit de tweede link.
Je opent een .html bestand in de browser waarna er een phishing pagina geopend wordt. Eventueel kunnen logo's van het betreffende bedrijf worden opgehaald om het echt te laten doen lijken.
Daarbij wordt dan gepoogd om de gebuiker zijn gegevens in te laten voeren, die naar de aanvaller word verstuurd.

Mogelijk betreft het een oude variant waarbij de infrastructuur offline is (gehaald) en werkte de phishing pagina daardoor niet.

Het is zo niet met zekerheid vast te stellen of er geen andere zaken zijn uitgevoerd. Voor de zekerheid een scan met een andere anti-virus tool dan Defender (Malwarebytes bijvoorbeeld) of het systeem uit voorzorg volledig opnieuw inspoelen. Accounts van de gebruiker ook resetten.

donderdag 20 juni 2024 17:11

Acties:

0 Henk 'm!

sumac

Topicstarter

Bedankt!!!

Ik heb de collega een andere laptop gegeven en ga het systeem scannen, daarna Windows nieuw installeren. Wat bedoelen jullie met een account-reset?

donderdag 20 juni 2024 17:36

Acties:

+1 Henk 'm!

laurens0619

Het probleem met sandbox scanners is dat ze goed zijn in het scannen van malware maar niet zo goed in phishing paginas

Wss is het een phishing pagina het laatste.
Als je browser up 2 date is hoef je je in het algemeen niet zon zorgen te maken als je niets hebt ingevuld of executable content hebt gestart

CISSP! Drop your encryption keys!

zondag 30 juni 2024 17:37

Acties:

+1 Henk 'm!

Kabouterplop01

chown -R me base:all

sumac schreef op donderdag 20 juni 2024 @ 17:11:
Bedankt!!!

Ik heb de collega een andere laptop gegeven en ga het systeem scannen, daarna Windows nieuw installeren. Wat bedoelen jullie met een account-reset?

Een account reset is a.s.a.p het wachtwoord aanpassen, zodat mocht het mogelijk gecompromitteerd zijn niet misbruikt kan worden.