Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 18, views: 14.560 •
Submitter: Trexpaxs

Hardwarefabrikant Cooler Master heeft zijn Nederlandse website offline gehaald nadat een aanvaller met gestolen logingegevens had ingelogd op het beheersysteem. Volgens een tweaker serveerde de website een exploit-kit, maar dat wil Cooler Master niet bevestigen.

Op het moment van schrijven is de Nederlandse website van Cooler Master nog steeds offline. Woordvoerder Marco van Genechten van het bedrijf zegt dat hiertoe is besloten nadat een aanvaller toegang had gekregen tot het content management-systeem. Wat de aanvaller daarna precies heeft gedaan, is volgens Van Genechten nog onduidelijk. "Daar doen we nog onderzoek naar. Vandaag zal daar waarschijnlijk geen duidelijkheid meer over komen."

Volgens tweaker Trexpaxs zijn de gevolgen echter wel degelijk duidelijk: de website zou de Blackhole Exploit Kit hebben geserveerd aan bezoekers. Exploit kits worden door aanvallers gebruikt om middels beveiligingsproblemen in browsers en plugins malware te installeren op pc's van bezoekers. De Blackhole-kit is een veelgebruikte exploit kit. Welke malware via de exploit kit werd geïnstalleerd, is onduidelijk.

Woordvoerder Van Genechten van Cooler Master kan bevestigen noch ontkennen dat er inderdaad een exploit-kit op de website is geplaatst. Wel wil hij kwijt hoe de aanvaller toegang heeft gekregen tot het cms: "Waarschijnlijk zijn de logingegevens gestolen met behulp van een virus", aldus Van Genechten. Voor zover bekend heeft het virus geen andere schade aangericht. "Er was maar één pc getroffen", zegt Van Genechten. "Maar die had net wat meer rechten dan anderen."

Het zou niet voor het eerst zijn dat aanvallers een website hacken om er een exploit kit op te plaatsen: eerder gebeurde dat onder meer bij NU.nl en De Telegraaf. Ook worden advertentienetwerken gebruikt om malware te verspreiden. Dat overkwam onder andere de website van het NRC Handelsblad en de standaard-startpagina van de browser Opera.

Update, donderdag 11:29: De malware op de Nederlandse site van Cooler Master heeft een week online gestaan, laat woordvoerder Van Genechten van Cooler Master weten. Als verklaring voert hij de kerstvakantie aan. "Vlak voor de kerstvakantie werd de pc van onze webbeheerder geïnfecteerd", aldus Van Genechten. "Dat leek aanvankelijk geen problemen op te leveren, maar na de vakantie bleek de website geïnfecteerd."

AVG herkent Blackhole Exploit Kit op website Coolermaster

Reacties (18)

Nu heb ik het artikel eerlijk gezegd maar geskimd, maar het gaat hier toch om inloggegevens die gestolen zijn? Daar kun je amper tegen beveiligen, dan moet je psychologische spelletjes gaan spelen tijdens de inlogprocedure...
Gelukkig dat AVG de kit al kent en de meeste andere goede AV software deze rotzooi dus ook kan vangen :).
"Daar doen we nog onderzoek naar. Vandaag zal daar waarschijnlijk geen duidelijkheid meer over komen."
Is het echt zo moeilijk te achterhalen of willen ze het liever gewoon niet naar buiten brengen om communicatieredenen?
Waarom moet iemand iets naar buiten brengen als nieuwssite- X langs komt voor een update.
Er komt een avg melding van een rootkit, forum post en vervolgens een triggerhappy newsposter (no offence hoor :P ), dat wil nog niet zeggen dat CM zelf klaar is met het 'onderzoek'.

Natuurlijk is het duidelijk dat er een rootkit in zit, maar hun boeit het even niet wat een tweaker weet maar juist dat alles wordt opgelost zodat die site weer de lucht in kan.
Vervolgens maak je zelf een statment als bedrijf.
Exploit kits worden door aanvallers gebruikt om middels beveiligingsproblemen in browsers en plugins malware te installeren op websites van bezoekers.
Die exploit kits worden steeds ingenieuzer ;)

Edit: @ChicaneBT: die eerste edit was dus alleen maar het benadrukken van websites. Overigens is de tekst van het artikel inmiddels aangepast.

[Reactie gewijzigd door Jan-E op 2 januari 2013 16:28]

Valt wel mee dacht ik hoor. Laatst tijd waren er ook een berg exploits die werken door middel van ik meen Javascript wat vervolgens je lekke Java plugin infecteerde.
Lees nou nog eens wat er geschreven staat... ik weet dat het moeilijk is voor de meesten...

"te installeren op websites van bezoekers", dat is inderdaad een wel heeeeeel slimme exploit kit...
Jan-E heeft zijn post gewijzigd er stond eerst iets anders waar ik vervolgens op reageerde. Je hoeft dus ook helemaal niet gelijk een grote mond te hebben dat ik iets niet goed gelezen zou hebben!

[Reactie gewijzigd door ChicaneBT op 2 januari 2013 15:39]

McAfee heeft een nog slechtere reputatie dan AVG en is voor hun normale AV pakket ook nog eens betaald. Het is nog erger het is niet alleen een reputatie maar ook te onderbouwen met testen: http://www.av-comparative...ocs/avc_prot_2012b_en.pdf Nogal onzinnig dus om AVG weg te zetten als slecht. McAfee Stinger kan trouwens wel een goed product zijn daar niet van :). Wat mij handig lijkt om te gebruiken is de Rescue Disk van Kaspersky of Bitdefender. De scan wordt dan uitgevoerd vanaf een Live Linux CD.
Mmmm, dit gebeurd de laatste tijd wel vaak met Nederlandse sites, of licht dat aan mij? Ik hoop dat Tweakers zijn beveiliging op orde heeft. :)
klopt. laatst had de Televaag er ook last van.
nieuws: Pobelka-botnet bracht interne netwerkstructuren in kaart

mag ik een voorstel voor CMS-bouwers doen:
-inlog-restricties voor (admin-)accounts
-ip-restricties, alleen inloggen vanaf bekend ip-adres
-email-verificatie, indien van vreemd ip-adres, verificatie via email
-logging en monitoring op verdacht inloggedrag
-detectie van wijzigingen aan framework (ipv content)
-scanner van php/js op webserver

-OTAP, geen directe toegang tot productie, maar via ftp en sync.
bij de sync scan je de gewijzigde files.

iemand nog wat ideeen?
De Engelse website lijkt overigens ook malware te bevatten, dat zegt Chrome in ieder geval.

Screenshot: http://snag.gy/MOgJX.jpg
Klopt, dit probleem speelt overigens al langer. Op 28 december werd er al melding van gemaakt:
http://www.computerforum.com/218762-cooler-masters-website-distributing-malware.html
Klopt, dit probleem speelt overigens al langer. Op 28 december werd er al melding van gemaakt:
http://www.computerforum.com/218762-cooler-masters-website-distributing-malware.html
Dit was een waarschijnlijk verschijnsel vane en ad die de boel afgeeft.
Mijn post (plaatje) laat zien dat de GEHELE website was geinfecteerd, (zie ajax.js etc.)
als dit een ad was die malware probeerde te verzenden, had ik de AVG notification gewoon weggeklikt, of een screenshotje naar coolermaster gestuurd.

hier zat dus blijkbaar meer achter dan ik verwacht had, en ik ben blij dat er niet eerst veel mensen ge´nfecteerd moesten worden voor het bekend werd.
De Nederlandse website linkt op dit moment door naar de .com website, hopelijk valt de "schade" verder mee.
Heb hier ook last van gehad, mijn pc werd door het bezoek van de Cooler Master website geinfecteerd met het Reveton!Ink virus, erg vervelend maar niet fool proof!

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013