'Pornosite xHamster serveerde malware via malafide advertentie'

De populaire pornosite xHamster heeft een tijd lang een malafide advertentie getoond die kwetsbare bezoekers besmette met malware. Wiens computer eenmaal werd getroffen, genereerde traffic naar advertenties om inkomsten voor de malwaremakers binnen te halen.

XHamster is volgens Alexa een drukbezochte pornosite, met een rank van 68 in de lijst van populairste websites van het internet. Volgens Malwarebytes, dat de kwetsbaarheid ontdekte, was de website het slachtoffer van een malafide advertentie. Die werd getoond via advertentieprovider TrafficHaus.

In een blogpost legt Malwarebytes uit hoe ingenieus de malwaremakers te werk gingen. Zo maakte zij in hun script gebruik van Googles shortenerdienst om bezoekers via de advertentie door te verwijzen naar een andere website. Op die site controleerden de makers of potentiële slachtoffers beveiligingssoftware Norton of Kaspersky draaiden. Zodra dat niet het geval was, werd de aanval voortgezet.

De malware controleerde vervolgens of de bezoeker van xHamster over een kwetsbare versie van Internet Explorer beschikte. Specifiek zocht het programma naar de aanwezigheid van CVE-2014-4130, een kwetsbaarheid in het geheugen. Als hierop bevestigend kon worden beantwoord, injecteerde het script de computer met Bedep. Die malware genereert ongemerkt traffic voor advertentiecampagnes.

Malwarebytes zegt inmiddels TrafficHaus te hebben ingelicht over de malware. De advertentieprovider zou inmiddels de malafide reclame hebben verwijderd. Het beveiligingsbedrijf benadrukt dat iedereen die geen risico wil lopen, de laatste softwareversies moet hebben geïnstalleerd.

Pornosites serveren met enige regelmaat malware. Meestal verlopen besmettingen via aangepaste banners op advertentienetwerken. De gevolgen kunnen immens zijn: zulke sites trekken miljoenen bezoekers. In februari was RedTube nog het slachtoffer van een soortgelijke aanval. Toen wisten kwaadwillenden zelfs de broncode van de hoofdpagina aan te passen middels een verborgen iframe.

XHamster

Vorig nieuwsartikel Volgend nieuwsartikel

Door Yoeri Nijs

Nieuwsposter

Feedback • 28-04-2015 19:45 129

28-04-2015 • 19:45

Lees meer

Rechter: xHamster moet porno die zonder toestemming is geüpload verwijderen

Rechter: xHamster moet porno die zonder toestemming is geüpload verwijderen Nieuws van 12 april 2023

'Helft van overlay-advertenties op gratis streamingsites is kwaadaardig'

'Helft van overlay-advertenties op gratis streamingsites is kwaadaardig' Nieuws van 15 juni 2016

Malwarebytes koopt tool voor verwijderen ongewenste programma's

Malwarebytes koopt tool voor verwijderen ongewenste programma's Nieuws van 23 juni 2015

'Pornosite RedTube serveerde malware na mogelijke hack'

'Pornosite RedTube serveerde malware na mogelijke hack' Nieuws van 18 februari 2015

Pornosite laat gegevens 1,3 miljoen leden uitlekken

Pornosite laat gegevens 1,3 miljoen leden uitlekken Nieuws van 22 december 2012

Gegevens miljoen YouPorn-gebruikers op straat via logfile

Gegevens miljoen YouPorn-gebruikers op straat via logfile Nieuws van 23 februari 2012

Meer producten en artikelen

Beveiliging en antivirus Bedrijfsnieuws

Reacties (129)

129

112

38

1

0

0

Wijzig sortering

batjes 28 april 2015 20:34

De malware maakte gebruik van de CVE-2014-4130 exploit in IE11, welke door MS gepatched is in oktober 2014. https://technet.microsoft...ry/security/ms14-056.aspx .
Welke overigens al niet werkte als je EMET zou draaien.

Lekkere onbenul ben je als je met ongepatchde OS+software naar dat soort websites gaat.

RaJitsu @batjes • 29 april 2015 00:32

Wanneer je überhaupt het internet op gaat. Verder zijn de grotere sites over het algemeen wel in orde, zou je zeggen? De materie zegt niet zoveel over de veiligheid ervan.

batjes @RaJitsu • 29 april 2015 09:22

Nee dat zeker niet

Tweakers.net is 1 van de uitzonderingen waar ik er wel op vertrouw dat ze de boel goed in orde hebben. Maar vrijwel elke site kan als onveilig beschouwd worden.

dadaemon @batjes • 29 april 2015 11:31

Helaas moet ik je teleurstellen. Zelfs Tweakers heeft hier wel eens last van.

nieuws: 'Groot advertentienetwerk serveert malware' - update 3

WillySis @dadaemon • 29 april 2015 13:32

Elke site die advertenties of content via een server van een derde partij toont is vatbaar voor dit soort aanvallen. Met andere woorden bijna geen enkele (grote) site is volledig te vertrouwen.

@WillySis • 29 april 2015 16:39

Wat ik me nou afvraag, waarom serveren websites die advertenties niet vanaf hun eigen domein? Je kunt toch automatisch een advertentie ontvangen van een advertentienetwerk, haar opslaan op je eigen server, en serveren op je eigen pagina's, dus gehost op je eigen servers? Dan hoef je niet meer steeds direct naar andere domeinen te linken vanaf elke pagina. Het enige nadeel dat ik kan bedenken is dat je iets meer traffic hebt, maar veel zal dat toch niet zijn.

Als gebruiker van het Internet zou ik dat uiteraard verschrikkelijk vinden: nu kan ik tenminste het laden van andere domeinen op b.v. Tweakers eenvoudig verbieden, om enige controle te behouden over wat mijn browser allemaal inlaadt. Maar in dit geval is zo'n website mijn "vijand", dwz. zijn belang is tegengesteld aan het mijne, dus waarom doet hij het op deze manier?

@Cerberus_tm • 29 april 2015 18:09

Als je de advertenties vanaf je eigen servers serveert, wordt de financiele afhandeling waarschijnlijk een stuk lastiger.

@u_nix_we_all • 29 april 2015 18:51

Hmm okee, dus je denkt dat dat de hoofdreden is, anders kunnen de sdverteerders niet controleren of de advertenties wel echt zo vaak getoond worden?

Verwijderd @batjes • 29 april 2015 11:10

95% van de internetgebruikers zijn technisch niet zo geavanceerd als jij.
Er zijn zat mensen met Windows XP of een illegale versie van Win7 die niet meer update.

Nibble @Verwijderd • 29 april 2015 13:12

Dat is hetzelfde als zonder rijbewijs en gordel om achter het stuur van een auto kruipen een botsing maken en de rest van de wereld de schuld geven dat er verkeersregels zijn...

Verwijderd @Nibble • 30 april 2015 15:56

nee hoor, er zijn gewoon veel mensen die een werkende pc hebben en er verder niets van snappen en of de behoefte of het geld niet hebben om een nieuwe pc te kopen

Verwijderd @batjes • 29 april 2015 13:16

Of niet met Linux

Joostlek 28 april 2015 21:33

Waarom wordt er alleen gecheckt op Norton en Kaspersky en niet op panda ESET of Avast?

scenix_ @Joostlek • 29 april 2015 07:43

Ik denk, omdat Norton en Kaspersky het misschien zouden blocken :-)

Verwijderd @Joostlek • 29 april 2015 08:40

Goede vraag, detecteren of Kapersky geïnstalleerd is, is nog vrij simpel. Voor controle op aanwezigheid van Norton, kan de code controleren op aanwezigheid van mappen. (Vanaf dat moment zou iedere AV onraad moeten ruiken)

The Angler EK landing page attempts to detect if the user is running Kaspersky:

var tmp, x0 = 'Kaspersky.IeVirtualKeyboardPlugin.JavascriptApi.',
or Norton:

var r0 = "res://C:\\Program Files",
r1 = "Norton",
r2 = "Internet",
r3 = "Security",
r4 = "Engine",
r5 = "with Backup",
r6 = "asOEHook.dll",
r7 = "uiMain.dll",
r8 = "msouplug.dll",
to decide whether it should fire or not.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 16:23]

drdelta @Joostlek • 29 april 2015 15:16

Wellicht omdat je via de browser alleen bij Norton en Kaspersky er achter kunt komen of deze geïnstalleerd zijn? ESET/Panda/Avast/etc exposen zichzelf wellicht niet via/aan Javascript?

FreshMaker 28 april 2015 19:47

Ik ben benieuwd hoeveel tweakers nu ook hoog van de toren blazen om aan te geven dat ze de site ondersteunen, en de advertenties gewoon laten zien

* FreshMaker gaat WEL op xhamster, maar nooit zonder mijn addblocker EN externe vpn ...

desalniettemin @FreshMaker • 28 april 2015 19:52

Ik ga zonder uBlock het internet niet op. Tweakers uitgezonderd.

triflip @desalniettemin • 28 april 2015 20:07

Maar zelf tweakers weet nooit 100% zeker of ze wel veilige ads tonen.. Ook het ad netwerk waar tweakers van gebruik werd laatst misbruikt

Choasmarkk @triflip • 28 april 2015 20:30

Adblock. Laat anderen maar advertenties kijken.

Pihkal @triflip • 28 april 2015 21:46

De meesten onder ons zullen wel 1 of andere adblocker gebruiken.
Wat ik dan storend aan Tweakers vind is dat ze je bijna een schuldgevoel aanpraten omdat je hun banners blocked en ze hierdoor mogelijk inkomsten verliezen.

Nu begrijp ik best dat advertenties een deel van de rekeningen helpt betalen en heb ik trouwens ook niets dan respect voor deze prachtige site waar ik al sinds jaar en dag m'n dagelijkse dosis tech nieuws haal.
Echter valt niet te ontkennen dat advertenties vaak een grote risicofactor vormen en het daarom ook logisch is dat meer en meer mensen deze defacto blokkeren.
Zoals hier ook al in de comments vermeld werd: zelfs een site als deze weet niet exact wat ze aanbieden van ads.

Just my 2 cents

comitatus @Pihkal • 28 april 2015 22:23

Je hebt ook mogelijkheid om contributie te betalen en dan zie je geen ads meer.

innerchild @comitatus • 28 april 2015 22:31

Als tweakers mij kan garanderen dat ze GEEN gebruik maken van (externe ) advertentie servers dan ben ik bereid om hiervoor een uitzondering te maken mbt mijn adblocker.

Toch wel dubbel ook. Tweakers vraagt mij om mijn adblocker uit te zetten maar als ik dat doe ga ik toch niet klikken op een banner. Het is toch verleden tijd dat je geld verdiende met alleen maar 'drive by's " ?

Of is dat om te kunnen laten zien aan adverteerders hier op tweakers hoeveel mensen daadwerkelijk iets te zien krijgen ?

atmoz_nl @innerchild • 29 april 2015 01:50

Snap het ook niet.... volgens mij zijn ze bekend/groot genoeg in nederland om zonder al die externe advertentie bedrijven advertenties te kunnen verkopen (en dus ook geen cookie's en andere meuk). Ze staan jaar in jaar uit op website nummer 1 in diverse categorien. Kan mij niet wijs maken dat je met mediamarkt/dixons/alternate en weet ik het niet veel gerichtere reclames kunnen verkopen. Dan is er ook geen blocker die het tegenhoud.
Maar goed dat is

binair @atmoz_nl • 29 april 2015 08:45

meer zelfs, waarom maken ze niet mee gebruik van het reeds bestaande advertantienetwerk van de Persgroep, hun moederbedrijf?

Standeman @innerchild • 29 april 2015 08:28

Zover ik weet wordt verreweg het meeste geld verdiend met het tonen van advertenties, niet met de kliks er op. Sterker nog, gebruikers zonder adblock kunnen bij intensief gebruik van Tweakers meer opleveren dan het abonnementsgeld van het goedkoopste banner vrij abonnement.

En verder, tja ook bij Tweakers HQ moet de schoorsteen roken.

dasiro @comitatus • 28 april 2015 23:37

moesten ze gewoon zelf hun advertenties hosten zoals andere (porno)sites doen tussen de rest van hun plaatjes, dan zouden ze al veel minder vaak geblocked worden, maar ja dan kunnen ze hun winst niet optimaliseren door advertentienetwerken hun spyware te laten draaien.

jp @Pihkal • 28 april 2015 22:32

Ik blijf erbij: De Tweakers.Net site mag me alle advertenties laten zien die ze maar willen

maar alleen zij, geen externe advertentieboeren die zij aanroepen in hun scripts, alleen van tweakers.net

Muta @dasiro • 28 april 2015 23:37

haha das wel heel triest. Net alsof dat zin heeft.

dasiro @Muta • 28 april 2015 23:38

been there

@dasiro • 29 april 2015 00:58

Ja, 10 jaar geleden. Maar dat zeg je er niet bij.

theMob @FreshMaker • 28 april 2015 20:08

Ik vind inderdaad de hoeveelheid porno op Tweakers nogal tegenvallen

pe1dnn @theMob • 28 april 2015 21:09

Naakte CPUs, blote harddisken, kale moederborden... Genoeg!

fraggie @pe1dnn • 29 april 2015 10:23

kabels die zomaar overal ingestoken worden..

Verwijderd @pe1dnn • 28 april 2015 21:31

*off topic* Ja waar gaat de wereld toch naar toe, allemaal die expliciete pc-onderdelen. Ik hoop dat Tweakers ze in het vervolg toch op zijn minst in een doos steekt!

*off topic*

[Reactie gewijzigd door Verwijderd op 22 juli 2024 16:23]

Bedrijfsnieuws
Beveiliging en antivirus

@theMob • 28 april 2015 20:12

Wat bedoel je, als Tweaker is er hier toch al die hardware porno... ;-)

theMob @Cergorach • 28 april 2015 20:17

Ja, dat is leuk voor overdag, maar 's morgens....

Waah @theMob • 28 april 2015 20:25

Als het hier ochtend is

It's 8 pm somewhere

Verwijderd @FreshMaker • 28 april 2015 23:41

Ik ben benieuwd hoeveel tweakers nu ook hoog van de toren blazen om aan te geven dat ze de site ondersteunen, en de advertenties gewoon laten zien

* FreshMaker gaat WEL op xhamster, maar nooit zonder mijn addblocker EN externe vpn ...

Ditto.

@Verwijderd • 29 april 2015 16:42

Waarom externe VPN eigenlijk?

Verwijderd @Cerberus_tm • 1 mei 2015 06:37

Ik gebruik eigenlijk nog geen VPN!!

Verwijderd @FreshMaker • 29 april 2015 14:23

Ik niet, ik kijk alleen RedTube

met Adblock Plus. Onder Linux.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 16:23]

Verwijderd @Verwijderd • 1 mei 2015 06:38

Ik niet, ik kijk alleen RedTube met Adblock Plus.Onder Linux..

Kubuntu x64?

Verwijderd 28 april 2015 20:00

Ik bezoek ook de website. Elke man heeft wel eens zijn behoeftes. Lekkere dikke memmen of juist niet. Petite or deadly curves. Hoef je niet te verbergen hoor.

Het gaat erom dat de website malware serveerde. Ik neem aan dat alleen IE kwetsbaar is geweest. Firefox volgens mij niet. Gelukkig draai ik altijd verschillende diverse programma's om deze meuk tegen te houden.

Edit: Wordt het plus systeem altijd zo vaak misbruikt? Beetje triest imho.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 16:23]

Verwijderd @Verwijderd • 28 april 2015 22:06

Ik denk dat heel veel mensen dit soort websites bezoeken. Wil je veilig zijn dan ga je in een sanboxed browser zitten zoals je met Sandboxie kan doen. Adblocker op de achtergrond, malware scanner en virusscanner up to date en er kan weinig meer gebeuren.

Het probleem is dat mensen overal op klikken. Op al die websites zie je altijd reclames aan de rechterkant met nog lekkerdere dames, of als je van de herenliefde bent, heren. Dat zijn reclames die je naar een andere site brengen met alle gevolgen van dien.

Gewoon alleen filmpjes klikken in een sanbox omgeving.

3raser @Verwijderd • 29 april 2015 10:44

Ik denk niet dat de gemiddelde pornokijker ooit van sandboxie heeft gehoord, laat staan dat ze weten hoe het werkt. Dit zijn leuke oplossingen voor Tweakers, maar niet voor jan-en-alleman.
Ik denk dat de browsers hier wat meer op in zouden moeten springen door private browsing (wat al redelijk geïntegreerd is) ook sandboxed te moeten maken. Na het afsluiten van je prive sessie zou alle data verwijderd moeten worden.

Overigens denk ik dat zelfs sandboxie nog last kan krijgen van malware als er bepaalde bugs opduiken. Een nog veiligere methode is door een virtuele machine te maken (virtualbox) die geen contact heeft met de rest van je netwerk. Na het afsluiten van de virtuele pc zet je direct de snapshot terug waarvan je weet dat die veilig is. Maar ook dit is natuurlijk een echte Tweakers oplossing.

batjes @Verwijderd • 28 april 2015 20:37

Alleen IE11 was kwetsbaar, teminste ik zie alleen dat die exploit misbruikt is. Als je Windows Update het afgelopen half jaar een keer uitgevoerd hebt zou je niet kwetsbaar moeten zijn.

EMET stopt de exploit sowieso al, ongepatched of niet.

Verwijderd 28 april 2015 19:53

Adult websites zijn het meest interessant. Maar het is ook echt de achterhoek van het internet weer. Het komt met regelmaat voor dat advertentieboeren gehackte code aan het serveren zijn aan bezoekers. Daarom, iedereen kijkt wel eens xxx gerelateerde video's, maar zorg dat je dat in een degelijke browser doet, met adblock, en een goede antivirus. Dan is de kans op infectie (

) gering.

Kalief @Verwijderd • 28 april 2015 20:48

Pornosites zijn eerder de backbone dan de achterhoek van het internet. Sites met advertenties die van derden komen kunnen nooit door die sites worden gecontroleerd en vormen dus altijd een risico. Overigens is het hier genoemde TrafficHaus gespecialiseerd in 'adult ad serving'.

biglia @Verwijderd • 28 april 2015 21:25

Het is nog altijd veiliger dan echte seks.

Verwijderd @biglia • 29 april 2015 08:56

best triest als dat jouw ervaring is

biglia @Verwijderd • 29 april 2015 09:01

En goedkoper!

drdelta @biglia • 29 april 2015 15:19

Tja, ik denk inderdaad dat dàt de drijvende kracht is achter wel/geen echte seks. Hoeveel het kost. Daarom is er natuurlijk ook zo'n groot probleem met de bevolking hè, de mensheid die bijna met uitsterven bedreigd wordt.. /s

Stoney3K @Verwijderd • 28 april 2015 20:47

Adult websites zijn het meest interessant. Maar het is ook echt de achterhoek van het internet weer. Het komt met regelmaat voor dat advertentieboeren gehackte code aan het serveren zijn aan bezoekers. Daarom, iedereen kijkt wel eens xxx gerelateerde video's, maar zorg dat je dat in een degelijke browser doet, met adblock, en een goede antivirus. Dan is de kans op infectie ( ) gering.

Dat heeft ook te maken met de schaamte-factor. Mensen komen minder graag met hun PC bij een reparateur met de uitleg "Ik heb die en die pornosite bezocht en nu heb ik een virus", want dan is de reactie gewoon "Eigen schuld, viespeuk".

Verwijderd @Stoney3K • 28 april 2015 20:55

Dat schaamte valt wel mee. Het ligt er maar net aan hoe je met je klant omgaat. Ik kijk daar nooit meer van op eerlijk gezegd als iemand z'n pc of laptop langsbrengt.

Mic2000 @Stoney3K • 28 april 2015 20:56

Ik twijfel daarover, het is als sex dat een taboe was 60 jaar geleden, het taboe van porno is ook steeds minder, bijna iedereen kijkt wel eens porn, niks viespeuk, mensen hebben ook gewoon behoeftes

Seditiar @Stoney3K • 28 april 2015 21:24

Haha wauw. Zijn er serieus nog mensen die denken dat porno kijkende mensen viespeuken zijn? Dacht dat dat al jaren niet meer was, zal vast aan de oudere generatie liggen.

NBK @Seditiar • 28 april 2015 23:25

Die oudere generatie zijn vaak wel viespeuken ja

Verwijderd @Verwijderd • 29 april 2015 14:25

Ik vraag me vaak af of het de websites zelf niet gewoon zijn die malware serveren. Het zijn toch achterkrochten van het internet zoals iemand hierboven het noemt.

dutchgio 28 april 2015 23:56

"Zulke sites trekken miljoenen bezoekers"...
Pun intended?

Vastelaovend89 29 april 2015 07:51

Het is toch algemeen bekend bekend dat er porno sites, freeserial sites etc malware bevatten. Gewoon adblocker installeren, zorgen dat virusscanner update to date is zoals als ik doe en vervolgens lekker fappen.

off topic
iedereen kijkt porno, zoals Vijftig tinten grijs, Flodder, Titanic en Adam zoekt Eva.

[Reactie gewijzigd door Vastelaovend89 op 22 juli 2024 16:23]

nooberke 28 april 2015 19:52

Wel leuk dat er miljoenen mensen op de site komen, maar hoe veel van deze mensen hebben een internet explorer versie welke lek is

batjes @nooberke • 28 april 2015 20:35

Erg weinig als ze Windows Update hun gang zouden laten gaan.

De gebruikte exploit is in oktober 2014 al gefixt en uitgerolt.

Verwijderd @batjes • 28 april 2015 21:11

Ook op oudere systemen? Dus oudere IE versies? Ik heb de patch niet nagekeken, dus het kan best zijn dat hij versie specifiek is.
Zo niet zijn er erg veel systemen kwetsbaar.

batjes @Verwijderd • 28 april 2015 22:30

Deze exploit is IE11 only. IE6 t/m 10 hebben nergens last van.

RielN @nooberke • 28 april 2015 20:26

Ik weet niet of dit nu een unintended pun is, maar je ziet hem wel vaker in de comments

maddog4004 28 april 2015 19:48

Geluukig heb ik niet gekl....euhm...nee, wacht ik kom nooit op die site gelukkig..

Verwijderd @maddog4004 • 28 april 2015 20:02

"kom"... padum pshhh

mutley69 28 april 2015 21:09

Jammer maar ik blokkeer al wat ik kan - en genieten is er al lang niet meer bij - jammer, voor die reclameinkomsten. Maar safety first!

Op dit item kan niet meer gereageerd worden.