Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 113, views: 57.927 •

Nu.nl heeft woensdag urenlang malware aan bezoekers geserveerd, bevestigt Nu.nl na een melding van beveiligingsbedrijf Fox-IT. Dat bedrijf kwam de problemen op het spoor toen zijn klanten werden ge´nfecteerd. Het zou gaan om banking-malware.

NU.nlFox-IT schrijft op zijn weblog dat meerdere klanten werden geïnfecteerd via malware die afkomstig was van Nu.nl. Het ging om malware die werd aangeboden via een advertentie. Volgens Fox-IT was waarschijnlijk de software die de advertenties toonde gehackt.

Nu.nl bevestigt dat de website woensdag 'korte tijd' malware heeft verspreid; dat zou zijn gebeurd via een 'aangesloten advertentienetwerk'. Onderzocht wordt nog hoe vaak en hoe lang de malafide advertentie is getoond. "Dat weten we nu nog niet", aldus woordvoerster Mariëlle Paul van Nu.nl-uitgever Sanoma. Wel weet Paul te melden dat enkel Windows-systemen het doelwit waren van de besmetting.

Het beveiligingsbedrijf zag woensdag tussen kwart voor 11 en half vier meerdere besmettingen via Nu.nl. Daarbij werd geprobeerd om via een exploit-kit de banking-malware Zeus te installeren. Die malware wordt gebruikt om logingegevens te onderscheppen en betalingen te manipuleren. Volgens Fox-IT werd de desbetreffende exploit op VirusTotal door 45 van de 47 virusscanners niet herkend.

Volgens Fox-IT werd de malware verspreid vanaf het ip-adres 195.3.147.191, gevestigd in Letland. Systeembeheerders kunnen kijken of via hun servers contact is geweest met dat ip-adres, om te zien of er besmettingen hebben plaatsgevonden. De command-and-control-servers van de aanvallers zijn gehost op de ip-adressen 67.211.197.91 en 91.223.88.144.

In 2012 serveerde Nu.nl ook al een trojan; destijds werd een server van Nu.nl zelf gehackt. Ook websites van concurrenten als NRC.nl en De Telegraaf zijn besmet geweest met malware. Het misbruiken van grote websites voor het serveren van malware is interessant voor aanvallers, omdat ze daarmee in één keer een grote groep potentiële slachtoffers bereiken. Advertentienetwerken worden hier met name vaak voor misbruikt.

Update, 17:15: Nu.nl heeft bevestigd dat malware is geserveerd. Het artikel is aangevuld met die informatie.

Reacties (113)

Reactiefilter:-11130105+175+212+31
1 2 3 ... 6
Even een stukje van Fox-IT citeren want er zijn geheid mensen die het te pakken hebben:
Wat kunt u doen?

Indien u op 5 juni nu.nl heeft bezocht is het raadzaam uw computer te controleren op de malware. De malware laat bestanden achter in de “Application Data” folder die worden opgestart bij het aanzetten van de computer. Controleer of er onbekende programma’s worden opgestart.

Indien u beschikt over proxy logs controleer dan of uw gebruikers naar 195.3.147.191 zijn geweest, dit is het IP-adres vanaf waar de malware is verspreid.

Besmette computers verbinden op 67.211.197.91 en 91.223.88.144 om commando’s op te halen.

These files are left on the sytem:
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp<random1>.bat
C:\Documents and Settings\Administrator\Application Data\<random2>\<random3>.cax
C:\Documents and Settings\Administrator\Application Data\<random4>\<random5>.exe

These programs are started at boot:
C:\Documents and Settings\Administrator\Application Data\<random4>\<random5>.exe
C:\WINDOWS\system32\cmd.exe /c "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp<random1>.bat"

En deze twee virusscanner zouden tenminste gewaarschuwd moeten hebben:
Kaspersky UDS:DangerousObject.Multi.Generic 20130604
Malwarebytes Trojan.Agent 20130604

[Reactie gewijzigd door Willaaam op 6 juni 2013 16:53]

Is er iemand die weet welke directories je op windows 8 moet checken?

Dit is wat mij logisch leek:
C:\Users\Default\AppData\<random>\<random>
C:\Users\Default\AppData\Local\<random>\<random>
C:\Users\Default\AppData\Roaming\<random>\<random>
C:\Users\username\AppData\<random>\<random>
C:\Users\username\AppData\Local\<random>\<random>
C:\Users\username\AppData\Roaming\<random>\<random>
Maar kwam gelukkig geen van deze tegen :+ Leek me even handig om te delen indien iemand de application data folder zoekt. (default en AppData zijn hidden trouwens)
Mochten meer mensen zich afvragen wat te doen:
Via de blog van nu.nl wordt verwezen naar blog.foxit.nl welke weer verwijst naar http://malwareinfo.nl/han...-bij-een-malwareinfectie/ alwaar een link staat naar mbam-setup.exe (functionele evaluatieversie).
Meer informatie zou welkom zijn. Welke browsers of plugins zijn hier gebruikt/kwetsbaar voor?
Beetje onduidelijk bericht met namen als
C:\Documents and Settings\Administrator\Application Data\<random4>\<random5>.exe:

De map C:\Documents and Settings\Administrator is niet lees- of beschrijfbaar door andere gebruikers, of is de naam Administrator maar een voorbeeld?

Naar iets als <random4>\<random5>.exe is het moeilijk zoeken, daarmee lijkt alles verdacht.

En die programma's starten niet vanzelf als je de computer aanzet. Dan moet er een link naar zijn in de map Opstarten in het startmenu, of in het register in de map HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
of
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
Dus het is beter om daar te kijken of er iets verdachts is bijgekomen.
Er zijn heel veel manier om meuk op te laten starten.

Zo zijn er programma's die standaard alles uit een mapje executen en er is malware die op die programma's piggybacked, dus als er niets op die twee plekken staat, betekend niet dat je nergens last van hebt; her zijn wel honderd manieren om software te executen on boot.
Nog even over die detectie:

De engines die draaien op virus totaal komen niet altijd overeen met de 'retail' versies. Vaak leveren AV companies aangepaste engines/definities en flaggen ze eerder dan normaal.

Een virus totaal hit hoeft dus niet te betekenen dat dit pakket, als je het thuis zou hebben, deze ook herkent.
En natuurlijk staat hierover niks op nu.nl :+
In het redactieblog staat nu een bericht. Ik denk dat heel veel mensen daar ook kijken
Toch zouden ze het wel even flink over de voorpagina mogen gooien, ze verzuimen nu een heleboel mensen te waarschuwen voor gevaarlijke malware..
Ik snap dat websites advertentie inkomsten nodig hebben maar om dit doort dingen te voorkomen draai ik toch een adblocker.
Ligt eraan. Je hebt adblockers die de hele code van de ad eruit gooien, die houden het in theorie tegen. Je hebt ook adblockers die slechts de reclame onzichtbaar maken. Dan download je de reclame dus nog wel en kan je potentieel het virus hebben.

Toch sta ik er van te kijken. Je zou denken dat NU.nl geleerd heeft van de vorige keer. Dat was niet mis, duizenden besmettingen in een paar uur. Het geluk was toen nog dat het virus veelal niet goed werkte. NU.nl mag wel eens gaan praten of security, ook het hun reclame leveranciers.
Ik sta er meer van te kijken dat het nog steeds mogelijk is om via een browser software op de locale windows computer te installeren, zonder tussen komst van de gebruiker en die ook nog automatisch opstart.
Ik ook, toch een raar idee, die exploit-kits. Ook erg jammer dat maar 2 virusscanners op virustotal dit exemplaar/deze variant kennen. Is het zo makkelijk om een variant op een bekend virus te maken die niet wordt herkent door veel virusscanners?
Dit is toch al de 3e of 4e keer op nu.nl?
Verbaasd? Iets met een pot en een ketel ;)
Enige verschil is dat hij geen eindredacteur is bij de grootste nieuwssite van Nederland ;)
Waar ik niet bij kan is dat men nog steeds dingen als iframes in hun site zetten en daarin 'obscure' javascript en flash van een adverteerder inladen.. (uberhaupt javascript van een adverteerder vertrouwen..)
Dat doet "men" niet, dat doen de advertentiebureas. Die geven je een javascript tag waarvan je weet welk formaat de ad gaat innemen. Die zet je op de plaats waar de ad moet komen en meer heb je er niet over te zeggen. Die tag gaat dan een script downloaden dat een iframe maakt met al de rommel er in.

Dit doen ze allemaal zo. Zelfs Google werkt zo. Tenzij dat je zelf alle advertenties wilt regelen (wat enkel heel grote sites kunnen doen) heb je echt geen keuze. Ik weet nu niet of Nu.nl dit zelf doet of niet, maar veel kleinere sites kunnen er echt niets aan doen als er malware via hun ads mee komt. Je kan een bekende ad publisher nemen zodat de kans dat er iets langs glipt kleiner is maar dat is alles.
Dit is niet de eerste keer dat via de kanalen van NU iets word versprijd. Advertsysteem of niet ze moeten echt eens nagaan hoe ze de veiligheid van hun bezoekers gaan blijven waarborgen want dat lukt ze niet al te goed mocht blijken dat dit weer klopt.
Dit gebeurt in mijn ogen veel te vaak, een paar weken/maanden terug ook al. en ik heb 90% van de tijd gewoon nu.nl aanstaan in een 2e tab.
en als dit veel vaker voor gaat komen ben ik toch echt bang dat ik gewoon mijn nieuws van andere (veilige) nieuwssites vandaan ga halen.
Om deze reden kom ik niet meer op nu.nl
Dan kun je maar beter alle sites met advertenties gaan mijden anders heeft van nu.nl wegblijven geen effect.
Het probleem is dat het uit de keuken van NU komt. Daar bovenop is het ook niet de eerste keer.
Dat mensen wegblijven is een logisch gevolg. En ook terecht gezien het nu weer doodgezwegen word.
Ben ik de enige of zijn er meerdere mensen vaak ge´nfecteerd door malware afkomstig van NU.nl? Ik meen ook te herinneren dat zo meerdere keren negatief op het nieuws zijn gekomen op deze manier, hoe zou dat kunnen komen?
Kwestie van je browser sandboxed draaien, iet wat in mijn ogen standaard moet zijn..
Wat standaard moet zijn is dat websites als NUnl, websites met algemeen aanzien, gewoon zorgen dat ze veilig zijn. Dat gedoe over dat je het had kunnen voorkomen door software x of programma y te draaien vind ik echt geleuter in de marge, en vooral pas in retrospect vanzelfsprekend. Nu.nl had het kunnen voorkomen door hun advertorials niet te outsourcen en te weten hoe e.e.a. dicht te hameren.
Dus als ik wil controleren of ik de sjaak ben moet ik Kaspersky of Malwarebytes runnen?
Hmm en hoe kom je als argeloze gebruiker erachter of je ge´nfecteerd bent geraakt? Enige tweaker die me daarbij kan helpen? Doet MalwareBytes Anti Malware het?
En dus mooi maar "even" links laten liggen dat nu.nl (doe ik al jaren). Zij geven helaas nogal de indruk dat advertentie-inkomsten belangrijker zijn dan hetgeen ze uiteindelijk de inkomsten op-/aanlevert: de bezoeker.
1 keer je hoofd stoten kan gebeuren, maar nu dit zeker een tweede keer (en wie weet hoeveel keer meer??) voorkomt lijkt er maar weinig veranderd te zijn.
Wellicht is de vorige bannerboer erop aangesproken, maar er lijkt ook helemaal geen monitoring vanuit Nu.nl zelf te zijn en da's imo. kwalijk.

Maar goed, gelukkig zijn we echt niet afhankelijk van Nu.nl voor ons nieuws, maar zij wel van ons als bezoekers dus doe wat je moet doen.....
Weer een reden om een add-blocker actief te hebben. Het lijkt steeds via de ads te worden verspreid.
Met IE9 en IE10 en een tracking protection list enabled (easylist TPL) lijk je er ook geen last van te hebben zegt mijn buurman met ruim 3000 pc's in beheer.
Ik had Adblocker Plus aanstaan, was ik ook kwetsbaar voor deze malware?
Ligt aan de instellingen, laad je wel de reclames maar worden ze niet getoond of worden de reclames op de server geblokkeerd.
Met Noscript worden de reclames gewoon helemaal geblokkerd in elk geval.
Maar malware misschien weer wel gezien die lijkt me andere url's gebruikt dan de normale ads...

Ligt er dus net aan waar die malware ingeladen was, en of dat domein dus geblockt wordt door je adblocker...
AdBlock Plus blokkeerd ook de uitvoer van bepaalde javascriptjes, bijvoorbeeld vele van de scripts die op nu.nl verwijzen naar hun advertentie-boer. (In ieder geval de Firefox-versie van AdBlock Plus.)

Dus dat betekent dat je hoogstwaarschijnlijk (bij standaardinstellingen) ook bescherming hebt.
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBGrand Theft Auto V

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013