'Pornosite RedTube serveerde malware na mogelijke hack'

De populaire pornosite RedTube serveerde malware via een kwaadaardige iframe, claimt Malwarebytes. Aangezien de iframe in de broncode was geplaatst, vermoedt het bedrijf dat het om een hack gaat. De site zou 300 miljoen bezoeken per maand hebben.

Pornosites serveren met enige regelmaat malware maar meestal verlopen besmettingen via aangepaste banners op advertentienetwerken. Dit keer wisten kwaadwillenden echter de broncode van de hoofdpagina van RedTube aan te passen: een verborgen iframe leidde bezoekers naar een url met malware.

Het ging volgens Malwarebytes om de Angler Exploit Kit, die populair zou zijn bij internetcriminelen en die vaak lekken in Flash en Silverlight zou misbruiken om internetters te besmetten. Bij RedTube zou het om misbruik van een recent gedicht Flash-lek gaan en de malware zou Trojan.FakeMS.Ed, die ook bekend staat als Kazy Trojan betreffen.

Trojans van dit type zouden gebruikt worden om persoonlijke gegevens te stelen, pop-ups te laten verschijnen en geïnfecteerden door te sluizen naar sites voor nieuwe besmettingen.

RedTube iframe malwareRedTube iframe malwareRedTube iframe malware

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 18-02-2015 19:31 164

18-02-2015 • 19:31

164

Lees meer

'Angler-exploitkit is de meest geavanceerde en zal dat nog een tijd blijven'
'Angler-exploitkit is de meest geavanceerde en zal dat nog een tijd blijven' Nieuws van 27 mei 2016
Malwarebytes koopt tool voor verwijderen ongewenste programma's
Malwarebytes koopt tool voor verwijderen ongewenste programma's Nieuws van 23 juni 2015
'Pornosite xHamster serveerde malware via malafide advertentie'
'Pornosite xHamster serveerde malware via malafide advertentie' Nieuws van 28 april 2015
'Groot advertentienetwerk serveert malware' - update 3
'Groot advertentienetwerk serveert malware' - update 3 Nieuws van 7 april 2015
Cisco: onlineadvertenties zijn groter beveiligingsrisico dan porno
Cisco: onlineadvertenties zijn groter beveiligingsrisico dan porno Nieuws van 31 januari 2013
Pornosite laat gegevens 1,3 miljoen leden uitlekken
Pornosite laat gegevens 1,3 miljoen leden uitlekken Nieuws van 22 december 2012
Gegevens miljoen YouPorn-gebruikers op straat via logfile
Gegevens miljoen YouPorn-gebruikers op straat via logfile Nieuws van 23 februari 2012
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (156)

-Moderatie-faq
156
138
61
3
0
3
Wijzig sortering
zacht 18 februari 2015 19:56
Welke besturingssystemen zijn hier bevattelijk voor? Ik neem aan Windows, maar what about Linux en Android?
Anonymoussaurus @zacht18 februari 2015 20:01
Linux en Android gebruiken geen flash volgens mij. Windows gebruikers zijn sowieso vatbaar.
434365 @Anonymoussaurus18 februari 2015 21:06
Het artikel is misschien ietwat onduidelijk, de malware is een javascript bestand, wat een iframe opent naar een bestand wat een exploitkit download, waarmee ze vervolgens (o.a.) op afstand Flash en Silverlight exploits op de 'gehackte' machine kunnen injecteren/uitvoeren.
MrFax @43436519 februari 2015 00:46
Maar IIRC heeft Android helemaal geen flash meer op al zijn browsers

[Reactie gewijzigd door MrFax op 25 juli 2024 23:42]

434365 @MrFax19 februari 2015 00:53
Het ding is, ze installeren "Angler Exploit Kit", waar nog wel meer exploits in zitten dan alleen voor Flash/Silverlight (is het natuurlijk wel de vraag of er uberhaupt een 'mobiele versie' van dat Angler is, maar zie niet in waarom niet, mobieltjes zijn prachtige targets)
Titan_Fox @Anonymoussaurus18 februari 2015 20:09
Flash is er ook voor Linux. Echter is dit een sterk verouderde versie; v11.2. Deze worden ook niet meer bijgewerkt.

Als je bedenkt dat op het moment van schrijven v16 de nieuwste is kun je je afvragen of het wel zo slim is om een dergelijk oude Flash te gebruiken. Nu is Linux wel een veilig besturingssysteem, maar op deze manier ben je natuurlijk wel bezig om een potentieel onveilig element toe te voegen.

Als je het zekere voor het onzekere wilt nemen kun je het beste gebruik maken van Chromium. Hier kun je add-ons toevoegen via de Chrome Store en de ingebouwde Flash-compiler wordt regelmatig bijgewerkt.
Peetz0r @Titan_Fox18 februari 2015 20:36
Flash Player 11.2 voor linux ontvangt nog steeds security updates van Adobe. Zie hier bijvoorbeeld de release notes van Flash Player 16, welke deze maand nog is uitgebracht.
https://helpx.adobe.com/f...es.html#released_versions
Hier zie je dat tegelijkertijd een nieuwe 11.2 is uitgebracht.
Titan_Fox @Peetz0r18 februari 2015 20:45
Ah, dat wist ik niet. Bedankt voor de update !

Adobe Flash 11.2 (Linux) krijgt dus wel bepaalde security updates maar geen optimalisaties meer die vanaf v 12.x zijn ingebouwd ? Snap eigenlijk niet dat er nooit nieuwere Flash-versies zijn uitgebracht.

Ik weet wel dat er steeds meer wordt ingezet op HTML5, maar lang niet alle videosites zijn overstag. Daarbij heb ik gemerkt dat HTML5 vaak slechter presteert (op mijn Zotac AD02) dan Adobe Flash. Niet alleen in Windows, maar ook in Linux.
Anoniem: 135018 @Titan_Fox19 februari 2015 00:03
Wat ik heb gemerkt op Windows met AMD graphics dat flash minder cpu vraagt dan html5 vooral bij video afspelen...
Titan_Fox @Anoniem: 13501819 februari 2015 00:06
Ik heb nooit bij taakbeheer gekeken, maar dat gevoel heb ik dus ook. HTML5 lijkt in mijn geval een zwaardere belasting op de CPU te leggen alwaar Flash de GPU zwaarder belast.

Laat de CPU van mijn ZBox AD02 nou niet bepaald krachtig zijn (AMD E-350) terwijl de GPU (RadeonHD 6310) voldoende pit heeft voor dit soort taken.
reefclaw @Titan_Fox19 februari 2015 09:12
HTML5 zwaarder dan flash?

Bij mij trok flash (de laatste keer dat ik het heb gebruikt) mijn cpu nog 100% vol. En dat was met een simpel filmpje kijken.
Sindsdien heb ik geen flash meer op mijn computers staan.
Peetz0r @Titan_Fox18 februari 2015 20:55
Nou, mijn ervaring is juist dat flash redelijk slecht presteert tov html5. Het afspelen in video's gaat op mijn machines op beide manieren trouwens vlekkeloos, maar flash lijkt nog altijd flink veel cpu te verbruiken. En met technieken als webgl kan juist html5 een flink voordeel hebben, alhoewel ik zo direct niet zou weten in hoeverre flash gebruik maakt van opengl voor games e.d.

De meeste problemen had ik met stabiliteit alhoewel dat tegenwoordig flink verbeterd is. En met zaken als fullscreen icm meerdere schermen. En NPAPI wordt door sommige browsers bijna afgeschaft. En mijn voorkeur gaat uit naar zoveel mogelijk opensource, waaronder het afschaffen van flash.
Anoniem: 657000 @Titan_Fox18 februari 2015 20:36
Het meest veilig ben je als je Windows RT gebruikt, daar kun je niks op installeren buiten de store om. Flash zit al ingebouwd.
Titan_Fox @Anoniem: 65700018 februari 2015 20:47
Ook daar kunnen veiligheidsgaten in zitten. Het voordeel van Windows RT (installeren van software via de store) is direct een nadeel; je kunt er niet zo makkelijk voor kiezen om alternatieve software te gebruiken omdat de ingebouwde programmatuur niet aan je wensen voldoet.
GoT @Anoniem: 65700019 februari 2015 09:09
Het probleem zit hem nou juist in Flash.
HerrPino @Anonymoussaurus19 februari 2015 08:22
Adobe heeft ook gewoon Flash voor Linux uitgebracht. Daarnaast is iedere computer waar een mens aan de knoppen zit vatbaar voor virussen. Het ligt meer aan de capaciteiten van de persoon aan het keyboard als aan het besturingssysteem.
Anonymoussaurus @HerrPino19 februari 2015 11:54
Bij Windows word het automatisch geleverd via Windows Update (voor Internet Explorer). Bij Linux niet.
Anoniem: 474132 @zacht18 februari 2015 20:07
Het betreft een .dll bestand, PE32 windows executable: https://www.virustotal.co...c9ec/analysis/1424196956/
pe1dnn @Anoniem: 47413218 februari 2015 21:25
Voordeel van een iBook G4 met Power PC en TenFourFox. Het slechte nieuws is dat er niet veel meer voor Power PC wordt geschreven, maar het goede nieuws is dat dat ook voor virus schrijvers geld... En TenFourFox is gelukkig nog steeds up to date met de laatste Firefox patches. Oh ja, ook geen flash support...
Anoniem: 474132 @pe1dnn18 februari 2015 22:26
Jij denkt dat een windows PE32 executable draait op een intel mac os x of linux machine?
pe1dnn @Anoniem: 47413218 februari 2015 22:31
Dat niet, maar zeker niet op een Power PC :)
Overigens met Linux en WINE zeker wel...

[Reactie gewijzigd door pe1dnn op 25 juli 2024 23:42]

Timo. @pe1dnn19 februari 2015 13:18
Wie gaat er nu naar porno browsen op een browser geinstalleerd via Wine?
Anoniem: 338569 @pe1dnn18 februari 2015 22:39
Tja er is altijd nog linux yellow dog.... of fixstars. http://www.fixstars.com/en/technologies/linux/ dan blijf je een beetje bij de tijd
hbt68 18 februari 2015 19:37
300 milj in een maand = 10 milj p dag, voor hoeveel uur was het actief?
HMC @hbt6818 februari 2015 19:55
300 milj in een maand = 10 milj p dag, voor hoeveel uur was het actief?
Hangt af van de persoon. Gezien de gedragsstoornissen en concentratiestoornissen veroorzaakt door smartphones amper een halve minuut. Van video naar video. Altijd op zoek naar de ultieme kick. En dan: Bang, klaar voor een dag. Zoiets?

Edit: quote erbij

[Reactie gewijzigd door HMC op 25 juli 2024 23:42]

Zyppora @HMC19 februari 2015 08:03
[...]
Hangt af van de persoon. Gezien de gedragsstoornissen en concentratiestoornissen veroorzaakt door smartphones amper een halve minuut. Van video naar video. Altijd op zoek naar de ultieme kick. En dan: Bang, klaar voor een dag. Zoiets?

Edit: quote erbij
Ik denk dat de vraag was hoe lang de infectie actief was op de Redtube frontpage, en niet hoe lang de gemiddelde gebruiker op Redtube actief is ;) Je hoeft technisch gezien nog geen seconde op die pagina te zitten om geinfecteerd te raken, zo lang dat javascript maar uitgevoerd wordt.

10M per dag is, even kort door de bocht, 417k per uur. Als die infectie dus een uurtje zijn werk heeft kunnen doen heb je al bijna een half miljoen exposures. Zeg dat 75% (geen idee of dat een reeel percentage is) van de bezoekers geen adequate maatregelen heeft tegen deze specifieke infectie, en dan heb je dus ruim 300k infecties.

Die infectie is niet Redtube's echte probleem. Ze hebben blijkbaar te kampen met ongeoorloofd toegang tot hun broncode, en in het verlengde daarvan, wellicht dus ook tot hun (user) database.
HMC @Zyppora19 februari 2015 08:30
Dat begrijp ik uiteraard. ;)
Ik nam het allemaal wat lichter op dit topic.

Porno GRATIS op Internet sites bekijken is natuurlijk al een wazig fenomeen. Er staat heel vaak gewoon pro-spul op waar de modellen veel voor betaald krijgen.

Iets met "als gratis dan bent u het product."
Als niet goedschiks, dan maar kwaadschiks.
SiC123 @HMC18 februari 2015 20:50
Dat geeft "kort maar krachtig" een andere dimensie.
Maar goed punt, de meeste zullen er geen uren rondhangen...
chezrene @hbt6818 februari 2015 19:57
Volgens mij hebben we hier een wiskundig genie! Overigens staat in het bericht dat het gaat om bezoeken, dus in de praktijk zal het om minder dan 300 miljoen potentiële doelwitten per maand gaan.
Beakzz 18 februari 2015 19:43
De hoogste tijd voor een virtueel condoom dan. Helaas kom ik nooit op dit soort sites. Daar zijn de filmpjes net te kort voor :p....
Glashelder @Beakzz18 februari 2015 20:34
Die bestaan: MalwareBytes Anti-Exploit, EMET of bijv. een tool als Sandboxie.
anzaya @Glashelder18 februari 2015 21:45
HitmanPro.Alert 2.6 werkt ook perfect tegen aanvallen zoals deze..
Anonymoussaurus @Beakzz18 februari 2015 19:49
Er zijn ook filmpjes van 1,5 uur. Vind je dat ook tekort?

Als je vriendin/vrouw dat weet, dat je zolang nodig hebt ;)
Beakzz @Anonymoussaurus18 februari 2015 20:23
Nope, maar dan wordt ik in het verhaal gezogen en krijg ik trek in popcorn ;)
SiC123 @Beakzz18 februari 2015 20:51
Gezogen uh-huh ;)
FreshMaker @Beakzz18 februari 2015 21:37
Nope, maar dan wordt ik in het verhaal gezogen en krijg ik trek in popcorn ;)
Veilig ....
Laatste keer was er alleen maar paprikachips in huis .....

En ruzie, de vrouw houd niet van paprikachips :(
StefanTs @FreshMaker19 februari 2015 09:04
Bestel je toch gewoon pizza, is heel normaal in die wereld.
Anonymoussaurus 18 februari 2015 19:47
Ik gebruikte toch nooit RedTube. Pornhub beheerd heel veel porno sites. Dus die indexeert de video's van andere sites, ook op hun site, als ik het goed heb.
Anoniem: 58485 @Anonymoussaurus19 februari 2015 01:24
En biedt o.a kanalen voor mensen om hun eigen vids te uploaden. :)
Anonymoussaurus @Anoniem: 5848519 februari 2015 01:37
Lol, ervaring mee? :/
Anoniem: 58485 @Anonymoussaurus19 februari 2015 01:39
Ik zit in die business, dus in zekere zin, ja.
Anonymoussaurus @Anoniem: 5848519 februari 2015 01:39
Laat me raden, dan ben je zeker webdesigner voor pornosites?
Anoniem: 58485 @Anonymoussaurus19 februari 2015 01:41
Ik schiet zelf content, het gratis aanbieden op kanalen zoals Pornhub is meer dan welkom. :)
StefanTs @Anoniem: 5848519 februari 2015 09:00
Wil dat zeggen dat je cameraman bent? Of doe je bv regie of acteerwerk?
Anoniem: 58485 @StefanTs19 februari 2015 14:42
Ik kom zelf eens met een idee, en haal dan een sybian in huis. In eigen netwerk por ik wat dames rond die geintereseerd zijn. Zodoende bedenk ik een plot (Is niet veel aan te verzinnen, just sit & enjoy :D ) en dat film verfilm ik. Netjes een contract, model wordt betaald enz. En de beelden exploiteer ik op internet tegen o.a betaling of een subscription.
StefanTs @Anoniem: 5848519 februari 2015 14:50
En je geeft gratis trial memberships voor bezoekers van deze thread?
Anoniem: 58485 @StefanTs19 februari 2015 14:51
:D

Nee.

Maar ik reageerde op de stelling dat pornhub alleen zou verzamelen.
StefanTs @Anoniem: 5848519 februari 2015 14:52
Ik denk ik geef je een voorzetje voor een mooi stukje marketing... helaas.
Anonymoussaurus @Anoniem: 5848519 februari 2015 01:43
http://i.memeful.com/media/post/BRkj4jM_700wa_0.gif
Bender @Anoniem: 5848519 februari 2015 09:16
Wat bedoe je precies met "schiet content" :+
geekeep 18 februari 2015 19:35
*kijkt uit naar het moment dat Flash haar weg vindt richting de eeuwige jachtvelden*
Jogai @geekeep18 februari 2015 19:55
http://www.hanselman.com/...erlightInJSWithFayde.aspx

Ik heb het al langer niet meer op mn systeem staan. De keren dat ik het nodig had switchte ik naar chrome.
HMC @geekeep18 februari 2015 19:51
*kijkt uit naar het moment dat Flash haar weg vindt richting de eeuwige jachtvelden*
Necrophilia?
Edit: Zucht...quote toegevoegd.

[Reactie gewijzigd door HMC op 25 juli 2024 23:42]

chimnino @HMC18 februari 2015 22:41
I LOL'ed! Komop, dit in combinatie met een porno site waar alles van hentai tot trannies staat, is gewoon grappig!
wph 18 februari 2015 19:35
Gratis genaaid :P
lezzmeister @wph19 februari 2015 04:23
En je houdt er er een gratis digitale ziekte aan over als je zonder middelen om je te "behoeden" voor infecties surft. ;)
xxxneoxxx 18 februari 2015 20:16
Alvast sterkte gewenst voor de tweakers die spontaan laptops van broers, vaders, ooms, buurmannen en oma's gevraagd wordt na te kijken.. Omdat die sinds deze week opeens spontaan, zonder aanleiding, allerhande popups geven.

Protip: een beetje ICT'er heeft altijd standaard handschoenen aan tijdens zijn werk en een spuitbusje Dettol danwel pure alcohol bij om euhm.. E.e.a te ontsmetten.
Titan_Fox @xxxneoxxx18 februari 2015 20:21
Ik vind het prima; al die reparaties leveren mij een leuke zakcent op. Kwestie van vraag en aanbod...
xxxneoxxx @Titan_Fox18 februari 2015 20:46
Kwestie van vraag en aanbod. Volgens mij hanteert Redtube dezelfde slogan, haha. Maar ik snap wat je bedoelt. De een z'n euhm.. Is de ander z'n euhm. Brood?
Titan_Fox @xxxneoxxx18 februari 2015 20:50
Je moest eens weten hoeveel computers ik heb moeten opschonen toen dat "politie" / "FBI" virus de ronde deed. Voor € 20 per systeem tikt dat toch lekker aan.

Ik weet wel dat het (voor mij) niet veel werk is, maar je betaalt ook voor de kennis en niet enkel voor de tijd die ik nodig heb om iets gerepareerd te krijgen. Maar goed; je kunt die € 20 natuurlijk ook aan de afpersers betalen en zien of je systeem dan weer wordt vrijgeschakeld. Als dat al gebeurd is het meestal tijdelijk. Zo werkt ransomware.

En ja; als ik tijdens het opschonen van tijdelijke internetbestanden zie wat daar allemaal voorbij komt, snap ik best waarom al die systemen geïnfecteerd zijn.

[Reactie gewijzigd door Titan_Fox op 25 juli 2024 23:42]

SkyStreaker 18 februari 2015 21:47
Ik gebruik tegenwoordig "ScriptSafe" met Chrome, zodat ik dit kan blokkeren (selecteerbaar per tag) per site:
<SCRIPT>, <OBJECT>, <EMBED>, <IFRAME>, <FRAME>, <APPLET>, <AUDIO>, <VIDEO>, <NOSCRIPT>, <IMG>.

Werkt prima, ook voor de meer hardnekkige javascripts.

[Reactie gewijzigd door SkyStreaker op 25 juli 2024 23:42]

amsterdamned 18 februari 2015 22:46
Kan iemand mij vertellen of er bij dit soort hacks eerst nog een handeling van de gebruiker nodig is (zoals eerst een .exe downloaden of iets accepteren)? Of is het enkel en alleen laden van de url al genoeg om besmet te raken?
xnergy 18 februari 2015 23:21
Dus als ik het goed begrijp zijn er volgens de Virustotal link in het artikel maar 10 programma's die de malware hebben gedetecteerd?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq