Hackers besmetten Nederlandse internetters via advertentienetwerk

Hackers hebben malware verspreid via een advertentienetwerk. In ieder geval de sites van Wegener en Nieuws.nl zijn de dupe, maar ook Sanoma en Reed Business gebruiken het netwerk. Wellicht zijn miljoenen internetters getroffen.

Het virusprobleem kwam aan het licht toen uitgever Wegener de websites van zijn kranten offline haalde, nadat gebruikers meldden dat er virussen werden verspreid. Het probleem, waarbij het trojaanse paard FakeAlert!grb werd verspreid, blijkt echter niet beperkt tot Wegener, ontdekten users op GoT al.

Onder meer Nieuws.nl bleek virussen te hebben geserveerd. Wout Reinders, webdeveloper bij de uitgever van Nieuws.nl, bevestigt dat. "Zondagmiddag kwamen meldingen binnen dat we virussen serveerden en na onderzoek bleek dat door een externe partij te komen", zegt Reinders tegen Tweakers.net. Eilko Bronsema, de ict-directeur van Wegener, wijst een advertentienetwerk als de schuldige aan.

Uit verder onderzoek van Tweakers.net blijkt het probleem te traceren tot een advertentieserver van het Leidse bedrijf CoolConcepts. Eigenaar Eric Visser van het bedrijf bevestigt dat de server van het bedrijf is gebruikt om virussen te verspreiden. "We zijn er nu naar aan het kijken", zegt Visser. Inhoudelijke informatie wil Visser echter niet geven. Volgens Visser is het probleem inmiddels opgelost. Hoe de advertentieserver van het bedrijf kon worden besmet, kan Visser nog niet zeggen. De server draaide op de opensource-advertentiesoftware OpenX. Die software bleek eerder al beveiligingslekken te bevatten.

Het is nog onduidelijk hoeveel sites daadwerkelijk malware hebben verspreid. Naast de zeven krantensites van Wegener, waaronder De Gelderlander en De Stentor, is in ieder geval ook Nieuws.nl gekraakt. CoolConcepts heeft echter ook Reed Business, NRC Media en Sanoma Media als klanten; het is onduidelijk of ook die mediabedrijven de dupe zijn geworden van het CoolConcepts-probleem.

Ict-directeur Bronsema van Wegener zegt dat zaterdag 'een of twee' meldingen van het virusprobleem zijn binnengekomen. Een dag later, toen er meer meldingen kwamen, werd het probleem pas onderzocht. Toen zijn de Wegener-websites offline gehaald; momenteel zijn de economiepagina's van de Wegener-sites nog steeds offline. Het virus zou op die pagina's zijn aangeboden. Volgens Bronsema kwamen de malafide advertenties via Doubleclick Marketplace bij Wegener terecht. Inmiddels zijn op alle Wegenersites advertenties uitgeschakeld.

Overigens meldden gebruikers op GoT dat ook Speedtest.net virussen zou verspreiden. Het is echter onwaarschijnlijk dat die virussen bij hetzelfde advertentienetwerk vandaan kwamen, omdat CoolConcepts zich richt op zakelijke adverteerders binnen de Nederlandse markt.

Het gebeurt vaker dat via advertentienetwerken virussen worden verspreid, omdat daarmee in één keer de gebruikers van een groot aantal sites kunnen worden besmet. Eerder dit jaar verspreidde Spotify nog advertenties die met malware waren besmet.

In 2009 bleek dat miljoenen flashbanners gevoelig waren voor xss-exploits. Omdat de banners gebruikmaakten van onzorgvuldig geprogrammeerde code, konden de hackers onder andere sessie-id's van een bezoeker buitmaken. Een van de oorzaken was dat de onveilige actionscript-snippets nog steeds als voorbeeldcode werden aangedragen. De code werd onder meer gebruikt voor adserversoftware als phpAdsNew, OpenAds en OpenX. Het is niet bekend wat de hackers met de kwaadaardige code via CoolConcepts hebben buitgemaakt.

Update, 12:30: NRC maakt al een paar maanden geen gebruik meer van CoolConcepts, twittert digitaal uitgever Han-Menno Depeweg van NRC Media.

Update, 13:13: NU.nl schrijft dat het geen virussen heeft aangeboden.