Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Equifax-site hielp malware te verspreiden' - update

De Equifax-site lijkt enkele uren geholpen te hebben om malware te serveren aan zijn gebruikers. Een 'onafhankelijke beveiligingsonderzoeker' kreeg een pop-up met een redirect naar een valse Flash-updatemelding.

Ars Technica beschrijft hoe Randy Abrams woensdag de Equifax-website bezocht om naar eigen zeggen  mogelijk onjuiste informatie over zijn kredietgegevens te bekijken. Tot drie keer toe zou hij daarbij naar de externe site centerbluray.info zijn gedirigeerd, waar hij een melding met een Adobe Flash-update voor zich kreeg. In werkelijkheid zorgde een klik op de update voor de installatie van een bestand met de naam MediaDownloaderIron.exe, dat de malware Adware.Eorezo bevatte. Deze zorgt voor ongevraagde advertenties in Internet Explorer.

De crapware zou momenteel door slechts drie antivirusbedrijven herkend worden: Panda, Symantec en Webroot. Malwarebytes herkent de centerbluray-site als een malware verspreidende site. Mocht er inderdaad malware via de Equifax-site verspreid zijn, dan zou dat een nieuwe blamage voor de kredietverstrekker zijn. Aanvallers wisten onlangs binnen te dringen in de servers van het bedrijf en gevoelige gegevens van meer dan 140 miljoen Amerikanen en meer dan 15 miljoen Britten te ontvreemden.

Het is niet bekend hoe het kan dat de site voor de redirects zorgde, maar de mogelijkheid bestaat ook dat het om een lokaal probleem bij Abrams gaat. De 'onafhankelijke beveiligingsonderzoeker' geeft weinig details over zijn ontdekking. Uit de bijbehorende video en screenshots valt alleen op te maken dat hij Internet Explorer gebruikte.

Update, vrijdag 09.50: Volgens Malwarebytes vond de malvertising plaats via een script van een derde partij op de site van Equifax, namelijk het bedrijf Fireclick, dat gespecialiseerd is in web-analytics. Dat script laadde een url vanaf een Akamaicontent delivery network, die op zijn beurt content via het domein sitestats.info van ostats.net haalde. Via dit laatste domein zouden de redirects naar malware en adware plaatsvinden.

Door

Nieuwscoördinator

24 Linkedin Google+

Submitter: the_shadow

Reacties (24)

Wijzig sortering
Mooi voorbeeldje van wat er eigenlijk mis is met de huidige mindset bij het maken van websites. We maken ons steeds meer druk over zaken als HTTPS en fatsoenlijk omgaan met wachtwoorden, maar zodra de marketingafdeling statistieken wil hebben dan vertrouwen we blind de meuk die we daarvoor moeten neerzetten.

Bij mijn vorige werkgever zorgde de geinjecteerde code van een van de providers van tracking keer op keer voor problemen met onze layout. Desondanks bleef het management maar stellen dat de developers dan maar een workaround moesten maken voor iets wat ze niet konden voorspellen, want wat nou als de marketingafdeling het zonder hun statistiekjes zou moeten doen die eigenlijk niet eens statistisch significant zijn.

Ik snap ook wel dat het in sommige branches verdomd handig kan zijn om je klanten te leren kennen, maar blind vertrouwen op een derde partij lijkt me nooit de juiste oplossing, zoals hier toch maar weer eens bewezen wordt. Toch doen we dat wel zodra er potentieel een effect op onze bottom-line is als we het niet doen.

[Reactie gewijzigd door Cronax op 13 oktober 2017 13:47]

Alhoewel, Equifax heeft bij mijn weten geen externe reclame op haar site, dus ...

"Het is niet bekend hoe het kan dat de site voor de redirects zorgde, maar de mogelijkheid bestaat ook dat het om een lokaal probleem bij Abrams gaat."

EDIT: laatste gegevens lijken te suggereen dat een onderaannemer gehacked was:

"So this package was not coming from Equifax, but was being injected by a compromised analytics provider. "

Fijn hè die telemetry 8-)

[Reactie gewijzigd door Armin op 12 oktober 2017 19:38]

uBlock Origin is geen ad blocker(de meest populaire blocker) maar een "wide-spectrum blocker". Die heeft standaard privacy-lists aanstaan en blocked content zoals Facebook like knoppen en Analytics servers.

https://github.com/gorhill/uBlock/wiki/Blocking-mode
uBlock Origin is not an "ad blocker", it is a wide-spectrum blocker, which happens to be able to function as a mere "ad blocker". But it can also be used in a manner similar to NoScript (to block scripts) and/or RequestPolicy (to block all 3rd-party servers by default), using a click-and-point user interface.

[Reactie gewijzigd door NotCYF op 12 oktober 2017 21:21]

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*