'Equifax-site hielp malware te verspreiden' - update

De Equifax-site lijkt enkele uren geholpen te hebben om malware te serveren aan zijn gebruikers. Een 'onafhankelijke beveiligingsonderzoeker' kreeg een pop-up met een redirect naar een valse Flash-updatemelding.

Ars Technica beschrijft hoe Randy Abrams woensdag de Equifax-website bezocht om naar eigen zeggen mogelijk onjuiste informatie over zijn kredietgegevens te bekijken. Tot drie keer toe zou hij daarbij naar de externe site centerbluray.info zijn gedirigeerd, waar hij een melding met een Adobe Flash-update voor zich kreeg. In werkelijkheid zorgde een klik op de update voor de installatie van een bestand met de naam MediaDownloaderIron.exe, dat de malware Adware.Eorezo bevatte. Deze zorgt voor ongevraagde advertenties in Internet Explorer.

De crapware zou momenteel door slechts drie antivirusbedrijven herkend worden: Panda, Symantec en Webroot. Malwarebytes herkent de centerbluray-site als een malware verspreidende site. Mocht er inderdaad malware via de Equifax-site verspreid zijn, dan zou dat een nieuwe blamage voor de kredietverstrekker zijn. Aanvallers wisten onlangs binnen te dringen in de servers van het bedrijf en gevoelige gegevens van meer dan 140 miljoen Amerikanen en meer dan 15 miljoen Britten te ontvreemden.

Het is niet bekend hoe het kan dat de site voor de redirects zorgde, maar de mogelijkheid bestaat ook dat het om een lokaal probleem bij Abrams gaat. De 'onafhankelijke beveiligingsonderzoeker' geeft weinig details over zijn ontdekking. Uit de bijbehorende video en screenshots valt alleen op te maken dat hij Internet Explorer gebruikte.

Update, vrijdag 09.50: Volgens Malwarebytes vond de malvertising plaats via een script van een derde partij op de site van Equifax, namelijk het bedrijf Fireclick, dat gespecialiseerd is in web-analytics. Dat script laadde een url vanaf een Akamaicontent delivery network, die op zijn beurt content via het domein sitestats.info van ostats.net haalde. Via dit laatste domein zouden de redirects naar malware en adware plaatsvinden.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 12-10-2017 18:35
24 • submitter: the_shadow

12-10-2017 • 18:35

24 Linkedin

Submitter: the_shadow

Lees meer

Sommige Windows 10-apps tonen advertenties met malware Nieuws van 3 juni 2019
Criminelen hadden toegang tot 55.000 identiteitsbewijzen bij Equifax-hack Nieuws van 8 mei 2018
'Beveiligingsonderzoeker waarschuwde Equifax al eind vorig jaar voor lekken' Nieuws van 26 oktober 2017
Equifax-hack wordt ook in Verenigd Koninkrijk onderzocht door toezichthouders Nieuws van 25 oktober 2017
Equifax-hackers hebben ook gegevens bemachtigd van 15,2 miljoen Britten Nieuws van 11 oktober 2017
Equifax verhielp Apache Struts-lek niet na notificatie Nieuws van 3 oktober 2017
'Equifax-hackers zochten ook naar specifieke personen' Nieuws van 29 september 2017
Directeur van Equifax legt functie neer na omvangrijke hack Nieuws van 26 september 2017
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (24)

-Moderatie-faq
24
22
15
3
0
2
Wijzig sortering
Cronax
13 oktober 2017 13:45
Mooi voorbeeldje van wat er eigenlijk mis is met de huidige mindset bij het maken van websites. We maken ons steeds meer druk over zaken als HTTPS en fatsoenlijk omgaan met wachtwoorden, maar zodra de marketingafdeling statistieken wil hebben dan vertrouwen we blind de meuk die we daarvoor moeten neerzetten.

Bij mijn vorige werkgever zorgde de geinjecteerde code van een van de providers van tracking keer op keer voor problemen met onze layout. Desondanks bleef het management maar stellen dat de developers dan maar een workaround moesten maken voor iets wat ze niet konden voorspellen, want wat nou als de marketingafdeling het zonder hun statistiekjes zou moeten doen die eigenlijk niet eens statistisch significant zijn.

Ik snap ook wel dat het in sommige branches verdomd handig kan zijn om je klanten te leren kennen, maar blind vertrouwen op een derde partij lijkt me nooit de juiste oplossing, zoals hier toch maar weer eens bewezen wordt. Toch doen we dat wel zodra er potentieel een effect op onze bottom-line is als we het niet doen.

[Reactie gewijzigd door Cronax op 13 oktober 2017 13:47]

Freekers
12 oktober 2017 18:57
And again: Equifax, the gift that keeps on giving.
Armin
@Freekers12 oktober 2017 19:32
Alhoewel, Equifax heeft bij mijn weten geen externe reclame op haar site, dus ...

"Het is niet bekend hoe het kan dat de site voor de redirects zorgde, maar de mogelijkheid bestaat ook dat het om een lokaal probleem bij Abrams gaat."

EDIT: laatste gegevens lijken te suggereen dat een onderaannemer gehacked was:

"So this package was not coming from Equifax, but was being injected by a compromised analytics provider. "

Fijn hè die telemetry 8-)

[Reactie gewijzigd door Armin op 12 oktober 2017 19:38]

R4gnax
@Armin12 oktober 2017 19:43
"So this package was not coming from Equifax, but was being injected by a compromised analytics provider. "
Fijn hè die telemetry 8-)
Yup. Alweer een reden om privacy-gerichte tools zoals ad-blockers te draaien en op scherp te houden.
djwice
@R4gnax12 oktober 2017 20:57
but was being injected by a compromised analytics provider. "

[...]

Yup. Alweer een reden om ... ad-blockers te draaien ...
Analytics is geen advertentie, dus in dit geval zouden jouw ad-blockers je niet hebben beschermd.
MrFax
@djwice12 oktober 2017 21:20
uBlock Origin is geen ad blocker(de meest populaire blocker) maar een "wide-spectrum blocker". Die heeft standaard privacy-lists aanstaan en blocked content zoals Facebook like knoppen en Analytics servers.

https://github.com/gorhill/uBlock/wiki/Blocking-mode
uBlock Origin is not an "ad blocker", it is a wide-spectrum blocker, which happens to be able to function as a mere "ad blocker". But it can also be used in a manner similar to NoScript (to block scripts) and/or RequestPolicy (to block all 3rd-party servers by default), using a click-and-point user interface.

[Reactie gewijzigd door MrFax op 12 oktober 2017 21:21]

R4gnax
@djwice12 oktober 2017 21:14
[...]
Analytics is geen advertentie, dus in dit geval zouden jouw ad-blockers je niet hebben beschermd.
Ad-blockers blokkeren meer dan alleen advertenties. Je kunt je makkelijk inschrijven op een blocklist die ook schiftige analytics providers blokkeert; of je voegt zelf met de hand filters toe om bepaalde te blokkeren.

Ik browse zelf al een tijdje met het domain van google tag manager geblokkeerd. Werkt super om van een heleboel van die traag-als-stroop troep af te komen die sales-medewerkers zonder er verder naar te kijken op de sites van hun werkgevers kwakken, kan ik je vertellen.

[Reactie gewijzigd door R4gnax op 12 oktober 2017 21:16]

SkillZ4LollZ
@djwice13 oktober 2017 12:55
Ghostery doet dit wel heel prettig, en is beschikbaar voor meerdere browsers.
dvz89
12 oktober 2017 19:28
Is dat linksboven in zijn scherm een toolbar? :/
timtwist
@dvz8912 oktober 2017 19:35
Nee, dat is als het goed is het logo van Lastpass, dus ik gok een extensie oid. Al weet ik niet of IE extensies of plug-in's ondersteund.
Armin
@timtwist12 oktober 2017 19:38
Ja, ActiveX.
JapyDooge
@Armin12 oktober 2017 20:31
Eh, volgens mij heeft Edge gewoon ondersteuning voor plugins.

Je kan ook uBlock Origin bijv. installeren via de Windows Store.
Armin
@JapyDooge12 oktober 2017 21:32
volgens mij heeft Edge gewoon ondersteuning voor plugins.

Klopt, maar dit ging over IE. O-)
KeesAlderlieste
@dvz8912 oktober 2017 19:36
Nee, LastPass, een wachtwoordmanager
MrFax
@KeesAlderlieste12 oktober 2017 21:22
Dat dus werkt via een plugin/ActiveX.
Armin
@dvz8912 oktober 2017 19:33
Yep, een ActiveX add-on _/-\o_
momania
12 oktober 2017 21:13
Ondertussen hebben ze de site maar helemaal offline gehaald. :D
Reuters bron
pimwijnands
12 oktober 2017 19:23
Als je denkt dat het stelen van miljoenen gebruikers gegevens nog niet erg genoeg was |:(
djwice
@pimwijnands12 oktober 2017 21:04
Wellicht zijn hackers nu actief opzoek naar gaten bij alle onderaannemers / service providers / SaaS diensten etc. waar Equifax gebruik van maakt. De kans is groot dat die niet allemaal hun zaken op orde hebben.

Scan zelf maar eens alle bedrijfjes die op nu.nl scripts mogen injecteren of 'pixels' mogen plaatsen...
Deel je uitkomst graag eerst met die partijen zelf, zodat ze het lek kunnen dichten.
batjes
@ro8in12 oktober 2017 23:25
Omdat IE vooral sinds IE9, telkens voorop liep de met de veiligheid.

Bij IE9 heeft het ~10 maanden geduurd na release voor de eerste exploit de sandbox uitgebroken was. Die exploit kon simpelweg tegengehouden worden door IE in protected mode te draaien. IE9 in protected mode is -dacht ik- een jaar of 2 ongekraakt gebleven.

IE11 is na release ook een maand of 8 ongekraakt gebleven.

Chrome doet het vandaag de dag volgens mij wat beter, maar dat was echt gatenkaas en heeft is bij een aantal van die hackcontests -destijds- erg vaak als eerste onderuit gegaan.

Firefox is security wise altijd vrij hopeloos geweest en daarbij zijn addons vrij noodzakelijk.

IE is vele jaren lang veruit de veiligste browser geweest, en heeft bij de echt security bewuste mensen zo een reputatie weten op te bouwen. Zelfs nu edge uit is en ik vertrouw iemands PC niet, start > internet explorer > inprivate window en gaan.

[Reactie gewijzigd door batjes op 12 oktober 2017 23:28]

kalikatief
@batjes13 oktober 2017 06:08
IE en Edge mogen een veilige reputatie hebben, maar ik raak ze niet aan. Deze zijn gewoon veels te traag met het openen en weergeven van websites. (Ja, zelfs op schone installaties. Ik heb dat in het verleden speciaal getest.)

Het duurt per website 1 a 2 seconden langer voordat ik een website in beeld heb en er iets mee kan gaan doen. Dat is voor mij gewoon te lang en ik erger mij er aan. En wanneer ik mij aan de browser erger doet deze zijn werk niet goed genoeg. Ik loop liever wat meer risico en dat ik gewoon kan doorpakken zonder uit mijn flow te worden gegooid. En dan nog ben ik de laatste 5+ jaar niet door iets slechts over de kop gegaan...

Chrome is voor mij veilig genoeg. Privacy-gewijs heeft het misschien een nadeeltje of twee (en daar is Chromium voor als het er echt toe doet) maar die automatische updater doet zijn werk zo vaak dat ik me er aan erger dat ik soms mijn schermen weer eens moet sluiten. :-)
batjes
@kalikatief13 oktober 2017 14:53
Edge laad bij mij gewoon net zo snel als Firefox, deze pagina op beide even geopent, ik zie niet direct een merkbaar verschil. Met IE hier ook nooit last van gehad.

Momenteel gebruik ik zelf Edge amper omdat deze blijft crashen zodra ik een nieuwe tab open, anders zou ik het wat meer gebruiken. Want het renderen van teksten is IE/Edge ook al sinds jaar en dag heer en meester in. Ik begrijp nog steeds niet waarom Firefox en Chrome hier nog zo'n moeite mee heben, alhoewel dat van Chrome vandaag de dag wat beter is als een paar jaar geleden, toen het nog net zo beroerd was als Firefox. Misschien dat Chrome er nu wat minder uit ziet omdat ik daar niet mee ben ingelogd op Tweakers dus het default lelijke design te zien krijg.

Verder, to each their own. Ik schommel ook tussen de browsers, omdat van tijd tot tijd de ene beter is als de ander, wel voornamelijk Firefox en IE/Edge. Maar als het echt op veiligheid aan komt, staat IE/Edge toch echt bovenaan, Chrome staat er vandaag de dag niet zo ver meer achter en Firefox zal hopeloos blijven tot hun nieuwe engine klaar staat.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee