Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Groot advertentienetwerk serveert malware' - update 3

Engage Lab, een groot advertentienetwerk dat via DoubleClick en Google advertenties op websites plaatst, serveert malware. Volgens Fox-IT gaat het om een van de grootste aanvallen met malware via advertenties die tot dusver is waargenomen.

Fox-IT stelt onder zijn klanten, voor wie het de interne netwerken monitort, sinds dinsdagmiddag een flinke hoeveelheid infecties en pogingen tot infecties waar te nemen. "Vergeleken met eerdere malvertising-campagnes is dit een van de grootste die we tot nu toe hebben gezien", zegt beveiligingsonderzoeker Maarten van Dantzig van Fox-IT. Dat ook klanten van Fox-IT getroffen zijn, geeft aan dat veel Nederlandse websites op dit moment waarschijnlijk ongewenst malware proberen aan te bieden: zestig tot zeventig procent van de 'sensoren' van Fox-IT staat in West-Europa.

Waarschijnlijk zijn aanvallers het netwerk, Engage Lab, binnengedrongen om zo malafide advertenties te kunnen plaatsen. Daarbij gebruiken ze volgens Fox-IT de Nuclear Exploit Kit, die zoekt naar verouderde versies van Flash, Silverlight en Java om zo beveiligingsproblemen te misbruiken en malafide software te installeren. Welke software de aanvallers proberen te installeren, is op dit moment nog onduidelijk.

Engage Lab vult via 'real time bidding' advertentieruimte op websites. Daarbij bieden adverteerders op de advertentieruimte. Het bedrijf gebruikt servers van Google en zijn dochterbedrijf DoubleClick om de advertenties te kunnen vertonen.

Gebruikers en netwerkbeheerders kunnen zich onder meer weren door hun software, vooral Java, Silverlight en Flash, bij te werken naar de nieuwste versie. Ook kunnen ze de ip-adressen 85.143.217.196 en 174.36.217.82 blokkeren; die adressen worden door de aanvallers gebruikt om malware te serveren en de malware eenmaal geïnstalleerd nieuwe commando's te sturen. Om te voorkomen dat plug-ins kunnen worden gebruikt om malware te installeren, kunnen gebruikers de browser ook zo instellen dat plug-ins niet automatisch worden ingeladen, maar pas als de gebruiker op een object klikt.

Het gebeurt vaker dat advertentienetwerken worden gebruikt om malware te verspreiden. Aanvallers hacken daarbij het advertentienetwerk, of weten een advertentie met malware door de controles van advertentienetwerken heen te krijgen. Hierdoor hebben meerdere grote Nederlandse sites, waaronder bekende namen als NU.nl, Telegraaf en NRC.nl, in het verleden malware geserveerd.

Update, 21:39: Uit voorzorg heeft Tweakers in ieder geval automated trading uitgezet, waardoor dergelijke advertenties niet meer automatisch worden vertoond. Daardoor kan de malware in ieder geval via Tweakers niet meer worden geserveerd. Advertenties die direct via Tweakers zijn ingekocht, zijn nog wel zichtbaar.

Update, 21:54: Fox-IT heeft een infographic vrijgegeven waar op te zien is hoe de malware een gebruiker infecteert.

Update, woensdag 7:14: Het advertentienetwerk lijkt inmiddels geen malware meer te serveren.

Door Joost Schellevis

Redacteur

07-04-2015 • 21:20

149 Linkedin Google+

Reacties (149)

Wijzig sortering
Adblocker en Ghostery zijn goede tools om advertenties te blokkeren maar je verkeer gaat nog steeds heen en weer je ziet alleen de ads niet meer. Privacy badger blokkeert ook het verkeer :+ en je kan sites simpel aan/uit zetten dus blacklisten/whitelisten.
Tja dat zal niet de eerste keer zijn.
Iik heb alle servers al lang geblokkeerd. Het vertraagd mijn internet vaak doordat adds proberen te laden voor andere content maar ik wacht liever 30 seconden dan dat ik add troep in accepteer.


doubleclick.net, admob, 204.9.163.247, mgid.com, unibet.com, fastclick.net , binarysystem4u.com , adtransfer.net, cashtrafic.info, adk2.com , force.com , exoclick.com, myprizesnowz.eu, admxr.com , propellerads.com, ligatus.com, inmobi.com, trader.biz , bwin.com

Dat hele zaakje is in mijn netwerk geblokkeerd en ondanks de nadelen zal ik het niet snel veranderen.
Er zijn meerdere nl sites die de malware hebben geserveerd. Kennelijk gebruikten die de ad netwerk advertenties die besmet waren.
Dit is een van de redenen dat ik noscript, flashblock en ad block edge draai in firefox, ja ook op tweakers.net. Sorry heren, maar ik bescherm liever mijn PC (ook al zijn alle plugins up-to-date). Dat gun ik mezelf net iets meer dan het risico lopen op viri en mallware door advertenties toe te staan. Dit is gelijk ook mijn antwoord op jullie banners die vragen om tweakers.net te whitelisten.
Ik lees bij niemand over het gebruik van opendns wat in combinatie met een gratis account een extra laag beveiliging aan je internet toe kan voegen.
Waarom worden die links dan niet stuk voor stuk gecontroleerd?
Ik heb hier nog een linkje van virustotal:
https://www.virustotal.co....143.217.196/information/
Deze heeft informatie van het aantal virusscanners dat het bestand herkent en waar het IP vandaan komt.
Ben blij met een adblocker. Ik steun tweakers hierbij niet.. maar dat is een keuze!
Mijn telefoon bijvoorbeeld raakt al overstuur om een site te laden, laat staan 1 met advertenties..
Het vertraagt je browser, verspringt aan alle kanten. dus je moet je soms ook afvragen of het je geen klanten/inkomsten hierdoor misloopt.

En ik zit gewoon niet te wachten op reclame. Ik heb namelijk een NEE/NEE sticker op mijn pc staan, echter houd niemand zich hieraan!

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Politiek en recht

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True