NCSC waarschuwt voor malvertising via Manualfinder en pdf-bewerkers

Het Nederlands Nationaal Cyber Security Centrum waarschuwt voor een malvertisingcampagne die wordt uitgevoerd via geïnfecteerde versies van Manualfinder en pdf-bewerktools. Die bevatten malware waarmee 'residential proxy's' worden opgezet, zegt het NCSC.

Het NCSC schrijft in een waarschuwing dat beheerders moeten opletten voor de malware op hun systemen. Het gaat om applicaties zoals Manualfinder, bedoeld om handleidingen te vinden, maar ook om tools zoals PDF-editor en soortgelijke software om pdf's te bewerken. Er gaat momenteel een campagne rond waarbij aanvallers via advertenties geïnfecteerde software proberen te installeren op systemen.

Na de installatie legt de malware verbinding met een command-and-controlserver en zorgt ervoor dat geïnfecteerde systemen als zogenaamde residential proxy's worden ingezet. Dat is een techniek waarbij een systeem legitiem verkeer kan simuleren, zodat het moeilijker is hacks op te sporen. Verder is er nog veel onbekend over de aanval. Het NCSC zegt: "Ook is er door onderzoekers gezien dat in sommige gevallen de software interacteert met gegevens in de browser. De mate van interactie en mogelijke toegang tot andere aspecten van de browser wordt op dit moment onderzocht."

Het is niet bekend wie er achter de aanval zit, maar het NCSC zegt dat er 'een verband lijkt te zijn met de OneStart Browser'. "OneStart wordt vaker in verband gebracht met de verspreiding en installatie van spyware en adware."

De malvertisingcampagne lijkt inmiddels grotendeels te zijn gestopt, maar het NCSC waarschuwt dat er alsnog gevaar is voor systemen waarop de malware nog staat. Het NCSC geeft tips over hoe beheerders de malware kunnen opsporen met behulp van certificaatgegevens en hoe zij die kunnen blokkeren.

Reacties (83)

Rhinosaur 30 augustus 2025 11:26

Een heel ander probleem dan deze lek, maar websites voor handleidingen zijn vaker onderdeel van fraude. Ik zie vooral risico’s voor overheidsmedewerkers die allerlei schaduw IT gebruiken. Zo ben ik soms ook genoodzaakt om gratis tools te gebruiken om te visualiseren, omdat mijn werkgever weigert een licentie aan te schaffen. Met name ook voor .pdf bestanden die ik vanwege een gratis variant van Adobe niet kan bewerken.

[Reactie gewijzigd door Rhinosaur op 30 augustus 2025 11:28]

synoniem @Rhinosaur • 30 augustus 2025 11:38

Adobe Pro is ook aan de prijs je zou hier naar kunnen kijken PDF-XChange Editor de gratis versie kan vrij veel en de licentie is een stuk goedkoper dan Adobe.

FreezeXJ @synoniem • 30 augustus 2025 14:28

Het punt is dat ik tussen alle PDF-super-changer, XChange, EditPro en Atril en co niet meer weet welke er nou wel of niet OK is, en dat weet m'n familie al helemaal niet. Die weten alleen dat ze zo'n stomme PDF moeten printen en invullen, en weer inscannen, offf... ze pakken zo'n simpel edit-progsel, al dan niet met troep erin, en vullen em in. Welke? Da's een mooie gok.

Adobe is ongeveer de enige bekende naam, en dat gaat niemand betalen (behalve als je baas het voor je betaalt). Dus de kans op rommel is nogal groot.

logix147 @FreezeXJ • 30 augustus 2025 15:02

Ik vul PDFs gewoon in op mijn ipad/iphone - hoef ik niets voor te downloaden. Daarna Airprint en klaar. Zo simpel kan het zijn.

RocketKoen @logix147 • 30 augustus 2025 16:18

Invullen van een PDF formulier kan gewoon met de gratis reader van adobe.

Wat je mist is het kunnen bewerken van de tekst in een bestaande PDF. Of het samenvoegen van meerdere PDF's.

Zo moet ik bijvoorbeeld van mijn baas mijn declaratieformulier en bonnetjes samenvoegen in 1 PDF bestand. Maar ik krijg geen licentie op software die dat kan. En ik mag ook niet zelf wat installeren. Dus zit je vast aan websites die dat gratis voor je doen. Komt er dan een .pdf uit met malware erin? Geen idee.

JohanNL @RocketKoen • 30 augustus 2025 16:58

Een PDF met malware is nog tot zover want zoiets valt toch snel door de mand, mogelijk verraad de bestandsgrootte het al.

Maar wat doen die ' gratis ' websites met jouw geuploade bestand? Ze zeggen dat ze het naderhand verwijderen, maar stiekem zouden ze toch gevoelige data buit kunnen maken. Zou toch iets anders weten af te spreken met jouw werkgever, want die heeft nu mooi weer wat kosten bespaard, maar mocht het toch misgaan komen ze bij jou.

Daoka @JohanNL • 30 augustus 2025 17:37

Een PDF met malware is nog tot zover want zoiets valt toch snel door de mand, mogelijk verraad de bestandsgrootte het al.

Ik denk dat je je hier nogal in kan vergissen. In denk dat veel mensen geen besef hebben hoe groot iets nu eigenlijk zou moeten zijn. Of überhaupt naar zouden kijken hoe groot iets is. Daarnaast is het soms gewoon moeilijker in te schatten. Download je een lego handleiding pdf hoeveel pagina's heeft die? Instructie handleiding kan meerdere talen bevatten dus zou 50 pagina's voor een alarm klokje ook kunnen. Algemene / privacy voorwaarden of een contract is altijd al een gok hoeveel pagina's.

kimborntobewild @JohanNL • 31 augustus 2025 02:28

mogelijk verraad de bestandsgrootte het al

Welnee, goed geschreven malware hoeft maar een paar kB te zijn, en de rest hengelt ie binnen via internet, en dan is het al te laat.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Malware

@JohanNL • 31 augustus 2025 08:26

Een PDF met malware valt doorgaans niet op door een grotere bestandsomvang dan doorsnede PDF;s (er bestaat egenlijk ook geen doorsnede omvang, een PDF kan van een paar KB tot gigantisch zijn). Malware kan bv worden toegevoegd in de vorm van scripts etc.

nielsiejjj92 @RocketKoen • 30 augustus 2025 17:04

Mocht je een mac hebben, dan kan dit (samenvoegen van PDF) bijv. gratis met de Voorvertoning app van Apple zelf. Of bijv. SmallPDF (iets van 5x gratis in de maand, Duits bedrijf)

DarkSide @RocketKoen • 30 augustus 2025 18:28

Je hebt geen Word ?
vroeger moest alles in PDF bij ons.
Open word. Plak alle details op meerderre pagina's
Safe to PDF en send.

RocketKoen @DarkSide • 30 augustus 2025 18:40

Declaratieformulier is in excel. Facturen zijn losse pdf bestanden.

Z80 @RocketKoen • 30 augustus 2025 19:28

Alle declaraties in een word bestand en dan als pfd printen geen optie? Als pfd printen kunnen de meeste OS's inmiddels zonder extra software.

Pas als je een bestaan pfd bestand moet geen editen heb je aparte software nodig.

kimborntobewild @RocketKoen • 31 augustus 2025 02:30

Er is vast Open Source software die dat kan.

xxs @kimborntobewild • 31 augustus 2025 07:52

Natuurlijk, Libreoffice (Draw) kan dat bij mijn weten.

n4m3l355 @RocketKoen • 31 augustus 2025 03:34

Dit soort software lijkt me ook een uitnodiging voor nep facturen. Stel je voor een app die gratis samenvoegt maar tegelijkertijd ook even een kopie naar een server stuurt . . .

Zeerob @RocketKoen • 31 augustus 2025 08:39

De bedreiging waar dit artikel over gaat is toch het downloaden van een tool om PDF's te bewerken, waar dan malware in zit, en niet het gebruiken van een online PDF bewerker, die PDF's met malware oplevert?

Minisculus @RocketKoen • 31 augustus 2025 09:59

Als het van de baas "moet", dan is het lijkt mij zaak dat ze IT laten zorgen voor degelijke software met een geldige licentie? Ik gok toch dat ze daar ook niet zitten te wachten op geinfecteerde werkplekken dankzij rommel uit software omdat dat van de baas moet wegens gebrek aan degelijk softwaremanagement.

Cyberpuppy @RocketKoen • 31 augustus 2025 10:50

Nee, maar je gegevens liggen mogelijk wel op straat. Als het gratis is betaal je met je gegevens.

In deze tijd mogen we ook iets van gebruikers verwachten.Ik moet en ik heb recht op zijn geen legitieme excuses (meer). Probleem terugleggen bij de werkgever is de enig juiste oplossing.

Maulet @logix147 • 31 augustus 2025 11:20

Met Edge, een internet explorer van MS, en vele andere kan het ook "gewoon" :)

kodak

Beveiliging en antivirus
Malware

@Rhinosaur • 30 augustus 2025 17:55

Ik zie niet in hoe je 'genoodzaakt' bent zelf te bepalen welke software software je gaat gebruiken op een systeem van de werkgever. Of je krijgt de gewenste middelen, of je doet het met wat je hebt. Het is al jaren bekend dat je als gebruiker de verantwoordelijkheid bij de werkgever hoort te houden, juist om dit soort risico's te voorkomen dat medewerkers malware installeren.

Cyberpuppy @kodak • 31 augustus 2025 10:51

Met grote dank aan Microsoft die het mogelijk maakt om zonder admin rechten software te installeren. Probeer dat maar eens te monitoren en managen.

crowke @Cyberpuppy • 1 september 2025 12:14

Daar hebben ze AppLocker voor...
https://learn.microsoft.com/en-us/windows/security/application-security/application-control/app-control-for-business/applocker/applocker-overview

Cyberpuppy @crowke • 5 september 2025 12:39

Dat weet ik. Maar eerst zetten ze de deur open voor dit soort gekkigheid en vervolgens mag je je in bochten wringen om de deur weer enigszins dicht te krijgen. Is nou niet bepaald simpel in te stellen en er zitten en boel mitsen en maren aan het geheel.

Crazy D @Rhinosaur • 31 augustus 2025 08:11

Dat vind ik echt een slecht excuus. Juist zakelijk. Je wilt niet betalen? Dan kan ik mijn werk niet doen, doei. Laat systeembeheer maar iets opzoeken dat te vertrouwen is en dan hoor ik het wel. Juist in zakelijke omgevingen zie ik echt 0,0 reden om dan maar in de gratis-zut te gaan zoeken en dan hopen dat het betrouwbaar is....

MiesvanderLippe 30 augustus 2025 11:39

Als ik beheerder zou zijn was een adblocker en DNS met blocklists 100% het eerste dat ik uit zou rollen.

tvtech

@MiesvanderLippe • 30 augustus 2025 12:03

Zou ik ook graag doen, probleem is alleen dat ons bedrijf ook adverteert…

SoftwareGert @tvtech • 30 augustus 2025 15:27

Je kan jouw eigen domeinen wel toestaan. Of een gasten netwerk waar je naartoe kan switchen, waar geen DNS filter op zit, of een minder strikte.

En als het nog niet kan; heroverweeg eerdere besluiten die dit nu in de weg staan.

FreezeXJ @tvtech • 30 augustus 2025 14:30

Dus? Je medewerkers hoeven die advertenties toch niet te zien? Bespaar iedereen een hoop rommel en werk, en block het.

tvtech

@FreezeXJ • 31 augustus 2025 19:38

Wel, want ze moeten kunnen zien of het de juiste zijn

themadone @MiesvanderLippe • 30 augustus 2025 12:42

Heb ik ooit eens een uurtje geprobeerd, zo ongeveer direct de marketing manager aan mijn bureau want die konden niet eens meer de social media beheren lol.

HollowGamer @themadone • 30 augustus 2025 18:36

Het is altijd jammer dat het kennelijk 'nodig' is. Ik heb geen idee of dat echt klopt, denk dat je mensen kunt bereiken, maar wat levert het op dan onder aan de streep?

Ik zou ook het liefst een filter opzetten, maar dan nog heb ik bijvoorbeeld mensen gezien met wachtwoorden in een Excel-bestand. Of doormailen van prive <--> werk.

BytePhantomX @MiesvanderLippe • 30 augustus 2025 17:55

Prima suggestie voor privé, maar zakelijk een stuk lastiger. En de malware van dit artikel heb ik in de praktijk voorbij zien komen en was niet tegengehouden door een ad blocker.

telenut @MiesvanderLippe • 30 augustus 2025 18:43

Daar ben ik nu inderdaad ook voor aan het kijken :-)

Maar daar zal zeker ook wel iemand over klagen...

Wouterie @MiesvanderLippe • 31 augustus 2025 15:05

Dat wordt dan "willen uitrollen" want als beheerder valt er bar weinig zelf te beslissen op dit gebied. Het is een kwestie van adviseren en overtuigen.

Daarbij ben je dan een week aan het whitelisten en schiet het effectief niets op.

Een familielid van me wilde eens vol trots zijn website zien waar hij lekker geld mee zou gaan verdienen. Het was een verjaardagsfeestje dus het was lekker druk. Hij z'n telefoon erbij en wat denk je? De halve website deed het niet vanwege AdGuard. Stond hij daar toch een beetje voor joker. Uiteraard ben ik dan weer degene die de mensen het leven moeilijk maakt.

Stijnvi 30 augustus 2025 11:31

Malvertising blijft een groot probleem, net zoals o.a. oplichting en het aanbieden van illegale producten via advertenties. Het gebeurt zelfs op websites als die van AT5. Ik ben er dan ook groot voorstander van dat de aanbieders van advertenties eindelijk verantwoordelijk worden gehouden voor de advertenties die zij toelaten. En dan heb ik het niet per se over iedere individuele website die advertenties toont, zoals AT5, maar wel over de advertentiediensten, zoals Google Ads.

TV_NERD 30 augustus 2025 12:05

Voor zo ver ik weet worden residential SOCKS5 proxies ook veel gebruikt bij credit card fraude. Door via een residential SOCKS5 proxy in hetzelfde postcodegebied als een slachtoffer aankopen te doen met een gestolen creditcard, kun je 3DS security omzeilen omdat geolocatie 1 v/d factoren is die bepaald of er al dan niet 2-traps wordt geverifieerd.

@m-snel Het is één van de factoren, niet de enige factor. Dat is een van de redenen dat kaarten meestal niet met overschrijvingen worden leeggetrokken, en zelfs niet via het aankopen van BTC, maar met bijvoorbeeld aankopen bij bekende webwinkels zoals Amazon. Eerder bij dezelfde merchant gekocht + vanuit hetzelfde postcodegebied betalen = lager risico en dus minder kans op verregaande 3DS verificatie.

Er is een reden waarom residential SOCK5 proxies op het dark web worden aangeboden, en dit is daar een van.

[Reactie gewijzigd door TV_NERD op 31 augustus 2025 08:47]

m_snel @TV_NERD • 30 augustus 2025 22:26

Dit lijkt me een aanname ik heb verschillende van die kaarten en die hebben ook verschillende instellingen.

Zo is het bijvoorbeeld niet mogelijk om bij een bank in buitenland een groot bedrag op te nemen zonder pin maar bij een willekeurig bedrijf gewoon drie keer zoveel met alleen contactloos betalen.

Zo werkte bijvoorbeeld de andere kaart wel bij de bank, en ze gebruikte alleen de optie om contactloos te betalen.

Die bedrijven hebben echt hele andere criteria dan je zou verwachten.

Zo werd ooit mijn kaart geblokkeerd bij een supermarkt uit Frankrijk, want ik en supermarkt kun je geen duizend euro uitgeven, maar bijvoorbeeld v&d had ook een supermarkt en daar kon je best vele duizenden euro’s of guldens besteden.

Ketho 30 augustus 2025 12:07

Mijn moeder is geen digibeet maar ook die heeft lukraak de AppSuite PDF tool geinstalleerd omdat ze niet doorhad dat het een nep downloadknop voor reclame was. Volgens dezelfde bron van het NCSC GBHackers zit er een backdoor in. https://www.gdatasoftware...-editor-backdoor-analysis

Het advies is dan ook om het systeem opnieuw te installeren vanwege de persistence mechanism.

[Reactie gewijzigd door Ketho op 30 augustus 2025 12:55]

telenut @Ketho • 30 augustus 2025 18:56

Dat doen wij op het werk vrijwel standaard zodra malware op een pc terecht gekomen is.
Het maakt dat gebruikers ook voorzichtiger zijn voor ze iets "van internet" gaan installeren

m_snel @Ketho • 30 augustus 2025 22:15

Ik had een keer een maleare die een soort foto’s nam van het scherm. Zeg maar een copiloot oplossing. Maar deze werd geactiveerd als je een stuk text selecteerde.

Fout in de programmering was dat je echt een soort flits zag op het scherm.

Was best lastig om daar helemaal van af te komen. Allen het pauzeren van alle processen gaf je de tijd om ook alle bestanden te verwijderen.

Uiteindelijk toch ook maar gekozen voor een complete herinstalltie.

De bestanden wel geüpload naar diverse anti virus sites die er op dat moment geen gevaar ik zagen.

dnnns 30 augustus 2025 12:38

Ik las bij het NCSC en ook in een Expel-analyse (via Reddit) dat geïnfecteerde systemen GUID-bestanden in %LocalAppData%\Temp droppen, vaak eindigend op “or”, “ro” of “of”. Handige IoC’s om besmettingen te herkennen, naast de malafide certificaten zoals dat van GLINT Software.

BytePhantomX @dnnns • 30 augustus 2025 17:56

Een ander ioc is een scheduled task met node.exe en een javascript bestand dat aangeroepen wordt.

m_snel @dnnns • 30 augustus 2025 22:09

Je kan dit natuurlijk makkelijk voorkomen door het execute recht op die map te ontnemen. Dat deden wij al in de jaren negentig.

telenut 30 augustus 2025 18:52

Wat zeer merkwaardig was met deze malware: heel wat gebruikers hadden de msi op hun PC staan zonder dat men die installeerde. Op één of andere manier slaagde die malvertising er in automatisch een msi te downloaden dus.
We hadden ook enkele gebruikers die effectief gezocht hadden naar een pdf editor en dus bewust de installatie gedaan hadden.
De malware gaat dan opgeslagen wachtwoorden uit de browser stelen, maar ik ben niet zeker of het een goed idee is die uit te schakelen...
Alle malware was trouwens signed, maar die certificaten zijn allemaal al geblokkeerd.

Zo kwam het bij één gebruiker alvast op de pc:
"msedge.exe" --single-argument microsoft-edge:https://www.bing.com/search?q=image resizer&FORM=WSBEDG
Misschien beter bing gewoon blokkeren :p

kimborntobewild @telenut • 31 augustus 2025 02:33

Dat lijkt me gewoon een grote security bug in Edge, als je op die manier malware kunt binnenhalen.

m_snel @telenut • 30 augustus 2025 22:01

Wat moet ik me voorstellen bij msi, dat is toch de default installer van Microsoft.

telenut @m_snel • 30 augustus 2025 22:12

Het bestand pdf-suite.msi kwam in de "downloads" folder te staan, zonder interactie van de gebruikers

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Malware

@telenut • 31 augustus 2025 17:34

Is dat zo? In de gevallen die ik heb gezien hebben de gebruikers het bestand zelf gedownload.

m_snel @telenut • 30 augustus 2025 22:29

Als je daar dus geen actie op onderneemt kan het dus weinig kwaad.

Geen idee waarom u met deze opmerkingen zo veel mede standers krijgt.

Ik kreeg ooit ook van de virusscanner een melding over iets van Google en ik had niet eens iets gedownload. Dus Google ook maar uitsluiten.

telenut @m_snel • 30 augustus 2025 23:37

Die +2 zal wel niet voor mijn laatste zin met een smiley zijn ;-)

DinDin 30 augustus 2025 13:46

Het is om moedeloos van te worden. Overal risico's, overal opletten. Is het mailtje wel echt, zit er geen rommel in de PDF die ik van het Internet heb gehaald. Knoppen die zogenaamd aangeven dat je computer geïnfecteerd is (al is deze wel heel duidelijk dat het nep is). Gebeld worden door onbekende nummers. En gebruikers klikken maar overal op, vullen hun inloggegevens in omdat het systeem dat vraag. Maar zelf nadenken, ho maar. Te goedgelovig soms.

Maar misschien ben ik zelf ook goedgelovig. Ik maak nog wel eens gebruik van "gebruikershandleiding.com". Zo heb ik enige tijd alle papieren handleidingen vervangen door PDF. Scheelt een hoop rommel op zolder. Maar nu blijkt dat dit mogelijk niet veilig is. Tenminste bij Manualfinder. Tja, en nu?

edit:
Linkje weggehaald van gebruikershandleiding.

[Reactie gewijzigd door DinDin op 30 augustus 2025 13:47]

telenut @DinDin • 30 augustus 2025 18:57

een pdf kan je veilig openen in de browser. Daar zit het probleem echt niet...

m_snel @telenut • 30 augustus 2025 22:04

Zo lang je browser natuurlijk de laatste updates heeft en er geen zero Day is .

Marctraider @DinDin • 30 augustus 2025 21:31

Het halve probleem is helaas de naïviteit en onoplettendheid / security consciousness van de eindgebruiker, en risk/reward assessment.

In laymans terms: Is het risico van deze mogelijke niet betrouwbare website de handleidingen waard?

De technische vraag is echter (en de andere helft van het verhaal), als deze tools door de gebruiker wordt binnengehaald, worden deze ongewenste verbindingen naar buiten via dezelfde executable naar buiten geloodst? Zo ja, dan ben je als eindgebruiker echt helemaal zelf verantwoordelijk.

Een PDF tool heeft echt niet noodzakelijk internet verbinding nodig, en zo wel dan zou dat al genoeg reden moeten zijn om deze niet te gebruiken, maar beter nog om deze verbindingen standaard te blocken.

Het moet eens afgelopen zijn met dat lakse gedoe (Dus 99% van de eindgebruikers) om zomaar alles by default door de firewall te laten loodsen zonder argwaan.

Het is uiteraard niet de oplossing voor alles, maar scheelt een hoop gedonder, naast je privacy waarborgen.

[Reactie gewijzigd door Marctraider op 30 augustus 2025 21:33]

MennoE 30 augustus 2025 13:58

Die websites met pdf's van handleidingen vind ik ook altijd mega shady eruit zien.

GeeBee 30 augustus 2025 15:30

Alles wat ik met pdfs wil, doe ik online met pdf24 punt org.

Van een boel jpg's naar pdf, af en toe splitten van grote bestanden of een pagina er uit. Werkt prima.

Voor de rest Ad blockers tot en met.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (83)

Sorteer op:

Weergave: