Beveiligingsbedrijf Fox-IT ziet onder andere op de website van De Telegraaf malware verschijnen die specifiek gericht is op Nederlandse ip-adressen. De malware wordt aangeboden via twee advertentienetwerken en maakt gebruik van de Angler Exploit Kit.
Dat schrijft Fox IT op zijn beveiligingsblog. Volgens het beveiligingsbedrijf maakt de site van de Telegraaf, telegraaf.nl, onbedoeld de meeste slachtoffers. Het kan bezoekers van de site besmetten met de Angler- exploitkit, die misbruik maakt van kwetsbaarheden in Flash, Internet Explorer en Silverlight. Het gaat om oudere versies van de software, waarbij internetgebruikers voornamelijk kwetsbaar zijn als ze de software niet hebben gepatcht. Daarnaast wordt ook een Trojaans paard met de naam Bedep meegestuurd met de payload, die additionele malware installeert.
De advertentienetwerken die de advertenties met malware van een derde partij serveren zijn AppNexus en Rubicon. Beiden zijn zogenaamde realtime-advertentienetwerken. De eerste advertenties met malware doken sinds donderdag op. Internetgebruikers uit Nederland krijgen de besmette advertenties ook binnen via andere aanbieders die achter de schermen gebruik maken van AppNexus en Rubicon.
Het domein vanaf waar de Angler-exploitkit wordt geladen is otsmarkteting.com. Als een pagina met een besmette advertentie wordt geladen, wordt er gebruikgemaakt van een linkverkorter via Googles goo.gl-dienst. Omdat de aanvallers gebruikmaken van de linkverkorter van Google die via https werkt, is de referrer niet of nauwelijks terug te achterhalen. Ook is hierdoor lastig te achterhalen welke sites nog meer zijn besmet, aldus Fox IT. De onderzoekers adviseren otsmarketing.com en het momenteel daarbij behorende ipadres 107.181.187.81 te blokkeren.
Het is niet voor het eerst dat via advertentienetwerken malware wordt verspreid. Dit gebeurde eerder ook al eens, onder meer via hetzelfde AppNexus-netwerk. Iets meer dan een jaar geleden werd hierbij ook de site van De Telegraaf al getroffen, waarbij bovendien dezelfde exploitkit werd gebruikt. AppNexus en Rubicon worden, hoewel op een andere manier, ook door Tweakers gebruikt. De advertentieafdeling van Tweakers heeft de twee partijen geïnformeerd en bevestiging gekregen dat in ieder geval Rubicon momenteel bezig is de bewuste besmette banners te isoleren en blokkeren.