Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 113 reacties, 58.378 views •

Nu.nl heeft woensdag urenlang malware aan bezoekers geserveerd, bevestigt Nu.nl na een melding van beveiligingsbedrijf Fox-IT. Dat bedrijf kwam de problemen op het spoor toen zijn klanten werden ge´nfecteerd. Het zou gaan om banking-malware.

NU.nlFox-IT schrijft op zijn weblog dat meerdere klanten werden geïnfecteerd via malware die afkomstig was van Nu.nl. Het ging om malware die werd aangeboden via een advertentie. Volgens Fox-IT was waarschijnlijk de software die de advertenties toonde gehackt.

Nu.nl bevestigt dat de website woensdag 'korte tijd' malware heeft verspreid; dat zou zijn gebeurd via een 'aangesloten advertentienetwerk'. Onderzocht wordt nog hoe vaak en hoe lang de malafide advertentie is getoond. "Dat weten we nu nog niet", aldus woordvoerster Mariëlle Paul van Nu.nl-uitgever Sanoma. Wel weet Paul te melden dat enkel Windows-systemen het doelwit waren van de besmetting.

Het beveiligingsbedrijf zag woensdag tussen kwart voor 11 en half vier meerdere besmettingen via Nu.nl. Daarbij werd geprobeerd om via een exploit-kit de banking-malware Zeus te installeren. Die malware wordt gebruikt om logingegevens te onderscheppen en betalingen te manipuleren. Volgens Fox-IT werd de desbetreffende exploit op VirusTotal door 45 van de 47 virusscanners niet herkend.

Volgens Fox-IT werd de malware verspreid vanaf het ip-adres 195.3.147.191, gevestigd in Letland. Systeembeheerders kunnen kijken of via hun servers contact is geweest met dat ip-adres, om te zien of er besmettingen hebben plaatsgevonden. De command-and-control-servers van de aanvallers zijn gehost op de ip-adressen 67.211.197.91 en 91.223.88.144.

In 2012 serveerde Nu.nl ook al een trojan; destijds werd een server van Nu.nl zelf gehackt. Ook websites van concurrenten als NRC.nl en De Telegraaf zijn besmet geweest met malware. Het misbruiken van grote websites voor het serveren van malware is interessant voor aanvallers, omdat ze daarmee in één keer een grote groep potentiële slachtoffers bereiken. Advertentienetwerken worden hier met name vaak voor misbruikt.

Update, 17:15: Nu.nl heeft bevestigd dat malware is geserveerd. Het artikel is aangevuld met die informatie.

Reacties (113)

Reactiefilter:-11130105+175+212+31
Moderatie-faq Wijzig weergave
1 2 3 ... 6
Even een stukje van Fox-IT citeren want er zijn geheid mensen die het te pakken hebben:
Wat kunt u doen?

Indien u op 5 juni nu.nl heeft bezocht is het raadzaam uw computer te controleren op de malware. De malware laat bestanden achter in de “Application Data” folder die worden opgestart bij het aanzetten van de computer. Controleer of er onbekende programma’s worden opgestart.

Indien u beschikt over proxy logs controleer dan of uw gebruikers naar 195.3.147.191 zijn geweest, dit is het IP-adres vanaf waar de malware is verspreid.

Besmette computers verbinden op 67.211.197.91 en 91.223.88.144 om commando’s op te halen.

These files are left on the sytem:
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp<random1>.bat
C:\Documents and Settings\Administrator\Application Data\<random2>\<random3>.cax
C:\Documents and Settings\Administrator\Application Data\<random4>\<random5>.exe

These programs are started at boot:
C:\Documents and Settings\Administrator\Application Data\<random4>\<random5>.exe
C:\WINDOWS\system32\cmd.exe /c "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp<random1>.bat"

En deze twee virusscanner zouden tenminste gewaarschuwd moeten hebben:
Kaspersky UDS:DangerousObject.Multi.Generic 20130604
Malwarebytes Trojan.Agent 20130604

[Reactie gewijzigd door Willaaam op 6 juni 2013 16:53]

Is er iemand die weet welke directories je op windows 8 moet checken?

Dit is wat mij logisch leek:
C:\Users\Default\AppData\<random>\<random>
C:\Users\Default\AppData\Local\<random>\<random>
C:\Users\Default\AppData\Roaming\<random>\<random>
C:\Users\username\AppData\<random>\<random>
C:\Users\username\AppData\Local\<random>\<random>
C:\Users\username\AppData\Roaming\<random>\<random>
Maar kwam gelukkig geen van deze tegen :+ Leek me even handig om te delen indien iemand de application data folder zoekt. (default en AppData zijn hidden trouwens)
Mochten meer mensen zich afvragen wat te doen:
Via de blog van nu.nl wordt verwezen naar blog.foxit.nl welke weer verwijst naar http://malwareinfo.nl/han...-bij-een-malwareinfectie/ alwaar een link staat naar mbam-setup.exe (functionele evaluatieversie).
Beetje onduidelijk bericht met namen als
C:\Documents and Settings\Administrator\Application Data\<random4>\<random5>.exe:

De map C:\Documents and Settings\Administrator is niet lees- of beschrijfbaar door andere gebruikers, of is de naam Administrator maar een voorbeeld?

Naar iets als <random4>\<random5>.exe is het moeilijk zoeken, daarmee lijkt alles verdacht.

En die programma's starten niet vanzelf als je de computer aanzet. Dan moet er een link naar zijn in de map Opstarten in het startmenu, of in het register in de map HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
of
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
Dus het is beter om daar te kijken of er iets verdachts is bijgekomen.
Er zijn heel veel manier om meuk op te laten starten.

Zo zijn er programma's die standaard alles uit een mapje executen en er is malware die op die programma's piggybacked, dus als er niets op die twee plekken staat, betekend niet dat je nergens last van hebt; her zijn wel honderd manieren om software te executen on boot.
Meer informatie zou welkom zijn. Welke browsers of plugins zijn hier gebruikt/kwetsbaar voor?
Nog even over die detectie:

De engines die draaien op virus totaal komen niet altijd overeen met de 'retail' versies. Vaak leveren AV companies aangepaste engines/definities en flaggen ze eerder dan normaal.

Een virus totaal hit hoeft dus niet te betekenen dat dit pakket, als je het thuis zou hebben, deze ook herkent.
Kijken of nu.nl op deze manier haar verantwoordelijk wel neemt, ik heb zojuist dit gepost in enkele nieuwsberichten op nu.nl:

Voor mensen die op 5 juni nu.nl hebben gezocht met een windows computer: u bent mogelijk geinfecteerd met een virus.

Dit heeft niets te maken met dit nieuwsbericht, maar aangezien nu.nl het zelf niet duidelijk communiceert moet het zo maar...

Zie o.a. hier: http://tweakers.net/nieuws/89533/nu-punt-nl-serveerde-urenlang-malware.html

En hier op nu.nl zelf (maar je moet goed, TE GOED, zoeken om het te vinden)
http://www.nu.nl/blog/349...via-advertentie-nunl.html

Note aan de redactie: ZET DIT EEN AANTAL DAGEN OPVALLEND OP JULLIE FRONTPAGE! NEEM VERANTWOORDELIJKHEID! Dan houdt deze spam ook op.

Lieve mensen, help er aan mee dat nu.nl zelf inziet dat ze verantwoodelijkheid moet nemen. Zeg het voort in reacties van nu.nl. Kopieer dit bericht en zet in een paar keer als reactie in andere threads. Dan bereikt het hoop ik de nodige mensen. Wellicht wordt het weggehaald, wellicht automatisch, dus maak wat variaties in de tekst. Dank u allen!


Vinden jullie dit okÚ? Of toch maar niet doen?

[Reactie gewijzigd door dirkpostma op 6 juni 2013 23:16]

Jammer dat er niet bijstaat of het gebruik maakt van een of andere java of Flash exploid. Lijkt me sterk als deze malware op iedere bezoekers ge´nstalleerd zou worden.
In de blog van Fox-it staat dat “Sweet Orange Exploit Kit” gebruikt wordt. Die gebruikt:
Java exploits, PDF exploits, Internet Explorer exploits, Firefox exploits
Die huisartsen die laatst in het nieuws waren vanwege een verouderde Java-versie waren dus de klos geweest.
Van de Fox-IT blog:
This then GETs from its own page to get payload information using a java exploit from the main landing page:

"GET hxxp://extraprimarilyfurious .biz/sites/directadmin/demos/yclZU HTTP/1.1" - - "-" "Mozilla/4.0 (Windows XP 5.1) Java/1.5.0_18"

After a successful java exploit the binary is obtained:
Er was dus een Java exploit nodig om het te starten. Ben blij dat in Chrome de Java plugin standaard uit staat.
Staat in het orginele artikel wel. Het is een Java exploit. Voor heel veel mensen/browsers is er dus niets aan de hand.
Welke browser is kwetsbaar? En in combinatie met welk OS?

Ik kom regelmatig op nu.nl, maar alleen met de nieuwste versie van google chrome onder windows, mac en linux.

Heb al even gezocht:
Zeus targets Microsoft Windows machines. It does not work on Mac OS X, or Linux.
Even verder gezocht: het gaat om de application data folder van Microsoft Internet Explorer. Alleen bezoekers met Internet Explorer onder Windows zijn dus kwetsbaar geweest.

[Reactie gewijzigd door 3Dj3 op 6 juni 2013 17:00]

Heeft niets te maken met specifiek internet explorer. De java exploit is er overigens maar eentje, de Sweet Orange Exploit Kit maakt standaard gebruik van meerdere attack vectors.

http://www.symantec.com/s...res/detail.jsp?asid=26033

[edit: glowmouse postte dit al eerder]

[Reactie gewijzigd door Willaaam op 6 juni 2013 17:26]

Elke combinatie browser - OS die ads weergeeft.

allemaal dus.
In de post van Fox-IT is te zien dat hier gebruik gemaakt wordt van een Java exploit. Je moet dus een java-plugin in je browser hebben draaien, anders gebeurt er niets.
In de post van Fox-IT is te zien dat hier gebruik gemaakt wordt van een Java exploit. Je moet dus een java-plugin in je browser hebben draaien, anders gebeurt er niets.
Het zou ook eens niet :) Verschrikkelijk software vind ik het, naast dat Oracle het zelf al bundelt met de crapware onzin van Ask toolbar e.d. is het gewoon een verschrikkelijk lek programma. Jammer dat het toch geforceerd gebruikt word in bedrijven.
Chrome vraagt explictiet of je de java plugin wilt uitvoeren. *pfew* leve chrome ;) En als een site daar om vraagt, gaan bij mij wel alarmbellen rinkelen.

Ik kan dus niet besmet zijn, ook al bezocht ik nu.nl met een browser met een java plug onder windows.

Al met al is het leed te overzien. Je moet dus:
1) een windows computer gebruikt hebben
2) in die tijd nu.nl hebben bezocht
3) de pech hebben gehad zo'n advertentie voorgeschoteld te hebben gekregen
4) een java plugin geinstalleerd hebben
5) de java plugin hebben uitgevoerd. Chrome vraagt hier expliciet om, Firefox vast ook. Geen idee of IE dat ook doet.
6) geen adblock hebben

[Reactie gewijzigd door 3Dj3 op 7 juni 2013 10:43]

Ben ik de enige of zijn er meerdere mensen vaak ge´nfecteerd door malware afkomstig van NU.nl? Ik meen ook te herinneren dat zo meerdere keren negatief op het nieuws zijn gekomen op deze manier, hoe zou dat kunnen komen?
Kwestie van je browser sandboxed draaien, iet wat in mijn ogen standaard moet zijn..
Wat standaard moet zijn is dat websites als NUnl, websites met algemeen aanzien, gewoon zorgen dat ze veilig zijn. Dat gedoe over dat je het had kunnen voorkomen door software x of programma y te draaien vind ik echt geleuter in de marge, en vooral pas in retrospect vanzelfsprekend. Nu.nl had het kunnen voorkomen door hun advertorials niet te outsourcen en te weten hoe e.e.a. dicht te hameren.
Is half vier exact half vier? Ik ben namelijk om 15.38 op nu.nl geweest...

Is daarnaast een malwarebytes scan genoeg? Hij zou het wel moeten herkennen bij het bezoeken van de site zag ik, maar ziet hij het ook als het er al op staat (omdat ik hem nu pas installeer)?
Volgens beveiligingsbedrijf Fox-IT is de infectie woensdag tussen 10.42 en 15.34 verspreid.
Bron: http://www.nu.nl/blog/349...via-advertentie-nunl.html Let op, is NU.nl (op eigen risico ;))

Het blog bericht is wel in een hoekje verstopt.

[Reactie gewijzigd door Hakulaku op 6 juni 2013 20:47]

Dank je! Ik wacht nog even met nu.nl bezoeken, maar ik lijk in ieder geval veilig te zitten :).
Ik snap dat websites advertentie inkomsten nodig hebben maar om dit doort dingen te voorkomen draai ik toch een adblocker.
Waar ik niet bij kan is dat men nog steeds dingen als iframes in hun site zetten en daarin 'obscure' javascript en flash van een adverteerder inladen.. (uberhaupt javascript van een adverteerder vertrouwen..)
Dat doet "men" niet, dat doen de advertentiebureas. Die geven je een javascript tag waarvan je weet welk formaat de ad gaat innemen. Die zet je op de plaats waar de ad moet komen en meer heb je er niet over te zeggen. Die tag gaat dan een script downloaden dat een iframe maakt met al de rommel er in.

Dit doen ze allemaal zo. Zelfs Google werkt zo. Tenzij dat je zelf alle advertenties wilt regelen (wat enkel heel grote sites kunnen doen) heb je echt geen keuze. Ik weet nu niet of Nu.nl dit zelf doet of niet, maar veel kleinere sites kunnen er echt niets aan doen als er malware via hun ads mee komt. Je kan een bekende ad publisher nemen zodat de kans dat er iets langs glipt kleiner is maar dat is alles.
Ligt eraan. Je hebt adblockers die de hele code van de ad eruit gooien, die houden het in theorie tegen. Je hebt ook adblockers die slechts de reclame onzichtbaar maken. Dan download je de reclame dus nog wel en kan je potentieel het virus hebben.

Toch sta ik er van te kijken. Je zou denken dat NU.nl geleerd heeft van de vorige keer. Dat was niet mis, duizenden besmettingen in een paar uur. Het geluk was toen nog dat het virus veelal niet goed werkte. NU.nl mag wel eens gaan praten of security, ook het hun reclame leveranciers.
Ik sta er meer van te kijken dat het nog steeds mogelijk is om via een browser software op de locale windows computer te installeren, zonder tussen komst van de gebruiker en die ook nog automatisch opstart.
Ik ook, toch een raar idee, die exploit-kits. Ook erg jammer dat maar 2 virusscanners op virustotal dit exemplaar/deze variant kennen. Is het zo makkelijk om een variant op een bekend virus te maken die niet wordt herkent door veel virusscanners?
Dit is toch al de 3e of 4e keer op nu.nl?
Verbaasd? Iets met een pot en een ketel ;)
Enige verschil is dat hij geen eindredacteur is bij de grootste nieuwssite van Nederland ;)
En natuurlijk staat hierover niks op nu.nl :+
In het redactieblog staat nu een bericht. Ik denk dat heel veel mensen daar ook kijken
Toch zouden ze het wel even flink over de voorpagina mogen gooien, ze verzuimen nu een heleboel mensen te waarschuwen voor gevaarlijke malware..
Klein vraagje van een noob die het niet allemaal begrijpt mbt JAVA. In mijn FireFox heb ik "javascript" enabled staan. Ben ik dan ook potentieel de klos?

En wat als Mbam al op je PC gesintalleerd stond voordat de infectie kwam, kan Mbam dan compromised zijn (heeft dus geen zin om te scannen tenzij je Mbam opnieuw installeert)?
Gewoon je MBAM die je al geinstalleerd hebt updaten en een snelle scan uitvoeren..
Java is totaal iets andere dan JavaScript. JavaScript word gebruikt voor effecten voor een website. Java zie je bijna niet op websites. Een voorbeeld website die het gebruikt is Intel. Via Java kun je een programma oproepen op je computer om bijv je drivers te controleren. Dit kan JavaScript niet.
Hmm, toch blij dat wij twee verschillende antivirus merken gebruiken. Eentje op de clients en eentje op de servers. EÚn van de twee pakte hem wel...

Erg vervelend dit.
"Volgens Fox-IT werd de desbetreffende exploit op VirusTotal door 45 van de 47 virusscanners niet herkend."
Kans dat je een goeie hebt is klein :o
Nee hoor: die is 100%.
Kaspersky detecteerde hem wel namelijk, kijk maar in het lijstje ;)
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True