Hackers verspreiden malware via advertentienetwerk

Internetcriminelen hebben een gekraakte server van 24/7 Real Media misbruikt om via het advertentienetwerk van de dienst links naar kwaadaardige sites te verspreiden. Onduidelijk is nog hoeveel internetters slachtoffer zijn geworden.

RealPlayer logoDe criminelen maakten gebruik van een onlangs geopenbaarde bug in de RealPlayer-plugin ierpplug.dll voor Internet Explorer, aldus Symantec. De kwaadaardige code werd in een onzichtbaar iframe verpakt en via het advertentienetwerk van 24/7 Real Media online gedistribueerd. De hackers probeerden met redirects de slachtoffers naar een kwaadaardige website te lokken. Met behulp van scripts konden de internetcriminelen vaststellen welke versie van Internet Explorer en RealPlayer door het slachtoffer werden gebruikt. Als aan de juiste criteria werd voldaan, werd een variant van de Zonebac-trojan op de harde schijf geplaatst. Deze malware probeert de veiligheidsinstellingen van IE te verlagen, waardoor een computer eenvoudiger besmet kan worden.

Hoewel het aantal slachtoffers nog onbekend is, stelt Symantec dat het verspreiden van malware via gekraakte advertentieservers potentieel zeer gevaarlijk is: de kwaadaardige lading aan boord van advertenties kan zich verspreiden via bekende en vertrouwde websites. Ook kan de malware zo een grote groep mensen bereiken. Het is nog onduidelijk hoe de advertentieserver van 24/7 Real Media gekraakt kon worden; aan Computerworld wilde het bedrijf geen commentaar geven. RealNetworks heeft ondertussen een patch voor de lekken in RealPlayer 10.5 en 11 beschikbaar gesteld. Volgens Symantec kunnen problemen ook voorkomen worden door het uitschakelen van ActiveScripting in Internet Explorer.

Door Dimitri Reijerman

Redacteur

Feedback • 22-10-2007 11:45 30

22-10-2007 • 11:45

30

Lees meer

'Hackers verspreidden malware via advertentienetwerk Google en MS'
'Hackers verspreidden malware via advertentienetwerk Google en MS' Nieuws van 11 december 2010
'Sinowal-trojan stal in 2,5 jaar tijd gegevens van half miljoen mensen'
'Sinowal-trojan stal in 2,5 jaar tijd gegevens van half miljoen mensen' Nieuws van 1 november 2008
Belgische omroepsites op zwart na bekladding
Belgische omroepsites op zwart na bekladding Nieuws van 21 mei 2008
Trojans verspreid via downloadmanager
Trojans verspreid via downloadmanager Nieuws van 15 maart 2008
Keurmerk voor veilige programmeurs in de maak
Keurmerk voor veilige programmeurs in de maak Nieuws van 22 november 2007
Afluisteren mogelijk door bug in sip-telefoons
Afluisteren mogelijk door bug in sip-telefoons Nieuws van 28 augustus 2007
F-Secure: Sony gebruikt nog software met rootkitkenmerken
F-Secure: Sony gebruikt nog software met rootkitkenmerken Nieuws van 28 augustus 2007
Trojan maakt webmailaccounts aan voor versturen spam
Trojan maakt webmailaccounts aan voor versturen spam Nieuws van 15 augustus 2007
'Botnettrojan Storm steekt Sober naar de kroon'
'Botnettrojan Storm steekt Sober naar de kroon' Nieuws van 15 augustus 2007
Virus ontfutselt geld aan klanten ABN Amro - update
Virus ontfutselt geld aan klanten ABN Amro - update Nieuws van 14 augustus 2007
Securityvendors zwijgen over spyware van overheid
Securityvendors zwijgen over spyware van overheid Nieuws van 19 juli 2007
Ransomware duikt weer op
Ransomware duikt weer op Nieuws van 19 juli 2007
Google maakt lijst met geïnfecteerde sites toegankelijk
Google maakt lijst met geïnfecteerde sites toegankelijk Nieuws van 20 juni 2007
Cybercrime groeit flink in Nederland
Cybercrime groeit flink in Nederland Nieuws van 11 juni 2007
Symantec test antibotnetsoftware
Symantec test antibotnetsoftware Nieuws van 10 juni 2007
Nieuwe versie van RealPlayer kan streams opslaan
Nieuwe versie van RealPlayer kan streams opslaan Nieuws van 1 juni 2007
AOL beticht van aanbieden 'badware'
AOL beticht van aanbieden 'badware' Nieuws van 29 augustus 2006
RealNetworks tekent distributiedeal met Mozilla en Google
RealNetworks tekent distributiedeal met Mozilla en Google Nieuws van 2 augustus 2006
Meer producten en artikelen
Privacy Browsers Advertenties Beveiliging Criminaliteit Malware

Reacties (30)

-Moderatie-faq
30
18
2
1
0
3
Wijzig sortering
leuk_he 22 oktober 2007 11:57
De mogelijkheid bestaat uiteraard dat de ad-server ook helemaal niet gehackt is maar dat de hacker gewoon advertenties ingekocht heeft bij24/7 al dan niet onder een gefakete identity.

Het is wel heel simpel om te stellen dat die server gehackt is als real daar geen commetaar op geeft.

Op tweakers.net zijn er al vrij strenge regels wat voor advertenties mogen, en daar glipt zelfs al eens een te agressieve advertentie ertussen. Andere sites staan nog veel meer soorten advertenties toe en alles wat geld opleverd wordt aangenomen. dus waarom ook geen iframe van de bad guys?
Sfynx 22 oktober 2007 17:21
En om deze reden mag je niet aannemen dat je veilig zit wanneer je als local administrator en zonder virusscanner alleen maar de sites bezoekt die je vertrouwt. Ik ken een aantal mensen die dat zo doen, en die "hebben nooit een virus gehad" ook al hebben ze geen software die dat kan bewijzen :P
_Thanatos_ 23 oktober 2007 03:50
Gas Factory.

Een overcomplex stuk software wat uitpuilt aan features waarvan de helft van de programmeurs voor de helft maar snapt wat het doet, waarom het doet wat het doet en hoe het werkt wat het doet. Zo krijg je dit soort inbreuken. Als ze bij Real niet helemaal los waren gegaan met advertenties en bloatware en weet ik wat allemaal en zich hadden gericht op een compacte stabiele player, dat had ik geen 3 minuten van m'n leven hoeven te verspillen om ze dit proberen duidelijk te maken.
Bloodshot 22 oktober 2007 11:57
Alhoewel veel sites leven van de advertentie-inkomsten, is dit voorval een uitstekende reden om alle advertenties per definitie te blocken.
deadinspace @Bloodshot22 oktober 2007 20:27
Alhoewel veel sites leven van de advertentie-inkomsten, is dit voorval een uitstekende reden om alle advertenties per definitie te blocken.
Als je die redenering volgt, dan is elk virus of stuk malware dat zich via internet verspreidt een uitstekende reden om de internet-verbinding de deur uit te doen.

Ik snap dat reclame over het algemeen niet erg geliefd is bij de meeste mensen, en dat elke reden tegen reclame er net één teveel kan zijn, maar om naar aanleiding van dit nieuwsbericht per definitie alle reclame te blocken vind ik toch nogal ver gaan.

Zoals ik het artikel lees is deze hele situatie trouwens mogelijk dankzij een fout in RealMedia's software:
De criminelen maakten gebruik van een onlangs geopenbaarde bug in de RealPlayer-plugin ierpplug.dll voor Internet Explorer
Het hele probleem heeft dus meer te maken met deze fout dan met het feit dat toevallig advertenties gebruikt werden om de malware bij de gevoelige software te krijgen. Zoals ik het begrijp zou het ook mogelijk zijn om deze vulnerability via niet-reclame content uit te buiten.

Als je dus iets per definitie wil gaan blocken, dan is RealMedia's software misschien een betere kandidaat dan reclame ;)
Cameleon73 22 oktober 2007 12:22
Firefox + Adblock maakt gehakt van dit soort ongein. Na dit soort crap ben ik blij om te horen dat adblocken ook een heilzame werking kan hebben :)
Verwijderd @Cameleon7322 oktober 2007 13:11
Adblock is voor het blocken van adds en niet om de veiligheid van je computer te verhogen. Als de integriteit van je computer afhangt van je addblocker dan zou ik maar eens wat extra maatregelen nemen ;).
Ik heb niets tegen google tekst add's maar die iritante opvallende filmpjes/flash reclames vind ik bijzonder storend. Ik ben daarom ook blij dat abp ze allemaal tegenhoud. Dat dit niet leuk is voor het businessmodel van sommige sites neem ik dan maar voor lief. Als je alleen maar geld kan verdienen door mensen lastig te vallen moet je maar een andere baan zoeken. Die link die je gaf vind ik daarom het toppunt van brutaliteit. Het blocken van reclame wordt daar gelijk gesteld aan stelen, omdat ze door mij geen extra geld verdienen. Hoezo omgekeerde wereld |:(
MueR Admin Discord @Verwijderd22 oktober 2007 13:21
Feitelijk doe je dat ook. Je berooft een website eigenaar van inkomsten.
Nou heeft het grootste deel van het internet gebruikend publiek een ontzettende hekel aan de soorten advertenties die je zojuist noemt. Warning boxes, overaanwezige flash dingetjes, geluid en meer zijn gruwelijk. Daarbij vertragen sommige adservers het laden van een pagina nogal, dus snap ik prima dat je Adblock gebruikt.
Bedenk echter wel dat een website afhankelijk kan zijn van de inkomsten uit deze advertenties. Block dus niet zomaar advertenties omdat ze er zijn.
teaser @MueR22 oktober 2007 15:49
Hoezo beroof ik een website van inkomsten? De betalingen worden toch niet berekend op het aantal views van een ad? Enkel de clicks brengen geld op. En laat ik nu net iemand zijn met een hekel aan reklame en daardoor uit principe juist niet op ads klik, dus aan mij zal er sowieso niet verdiend worden.
hackerhater @MueR22 oktober 2007 21:06
Ik blok alleen bewegende advertenties en flash wordt auto geblockt door flashblock
Ik vind reclame niet erg en snap dat de websitemaker inkomsten moet hebben

Maar zodra het mij irriteerd->blok
MaffeMaarten @Verwijderd22 oktober 2007 13:26
Ik heb zelf bij mijn adblockPlus bewust de googleads weer doorgelaten.

Bovendien vind ik het soms wel interresant/geinig om te kijken welke advertenties als "relevant" worden bestempeld.

Vooral bij gmail is het leuk om te zien dat als je het een paar keer over koffie hebt in eejn conversatie, meeteen een koffieapparaat aangesmeert krijgt.
(of afslankproducten als je iets "Vet" noemt in een mailtje)
BAS80 @Cameleon7322 oktober 2007 13:21
van de Zonebac-trojan op de harde schijf geplaatst. Deze malware probeert de veiligheidsinstellingen van IE te verlagen, waardoor een computer eenvoudiger besmet kan worden.
Een beetje virus/spyware scanner houdt het ook wel tegen lijkt mij, daar heb je geen adblocker voor nodig. Waarom zou je trouwens een adblocker installeren? Het zijn n.l. wel de inkomsten voor de site die je bezoekt. Persoonlijk heb ik weinig last van reclames op tweakers, 1 advertentie bovenin (met geluid uit knoppie) :z
En volgens mij 1 per week of per 2 weken krijg ik een popupje op de frontpage. Terwijl ik toch iedere dag min. 10 minuten op de frontpage zit..
En deze trojan schijnt alleen te werken met IE+ RP, dus met FF en alleen een goede scanner zit het ook wel snor... :P
AlphaRomeo FP PowerMod @mschol22 oktober 2007 12:04
Het nieuwe is dus nu dat ze waarschijnlijk een ad-server hebben gehackt waardoor er ook op niet-obscure sites deze banners te zien waren. En dat vergroot de te infecteren groep enorm.
TERW_DAN @Verwijderd22 oktober 2007 12:07
Soms vraag ik me wel is af, waarom doen ze dit :x
Simpel, geld.

Malware levert altijd op een of andere manier wel geld op. Of dit nu gaat via advertenties van hun eigen bedrijf, het doorlinkt naar een niet betrouwbaar iets dat je indirect weer software probeert te verkopen, je creditcard gegevens probeert te bemachtigen of op een andere manier dingen van je te weten wil kopen. Identiteitsdiefstal is ook vrij lucratief (al dan niet direct voor het geld, dingen doen onder de naam van een ander houdt jezelf weg van het vuur).

Maar het blijft er altijd op neerkomen dat het gewoon om geld gaat, zoals alles.
Pietervs @intGod22 oktober 2007 14:42
Lezen is ook een vak: De criminelen maakten gebruik van een onlangs geopenbaarde bug in de RealPlayer-plugin ierpplug.dll voor Internet Explorer
Dus als jij Firefox gebruikt liep je zowiezo geen risico...
Whieee Moderator Apple Talk @coretx22 oktober 2007 12:58
Een hacker is in definitie iemand die fanatiek bezig is mogelijkheden te zoeken om <insert object> meer te laten kunnen dan gespecificeerd. Dat kan inhouden dat je een ingebouwde beveiliging omzeilt, of nieuwe functionaliteit creëert. Zoveel mogelijk systemen infecteren met een trojan, of zoveel mogelijk systemen platgooien heeft niets te maken met hacken, en heeft ook geen enkele toegevoegde waarde.

De negatieve smaak die de term 'hacker' heeft gekregen heeft deze te danken aan de media en het misbruik van de term door deze media.

En voor wat betreft jouw inschatting over de generatie waar ik uit zou komen: ik kom in ieder geval uit een generatie die nog daadwerkelijk de nederlandse taal heeft geleerd op school.
Verwijderd @Whieee22 oktober 2007 13:22
Het zijn met name de nerds die zich druk maken om het verschil tussen een white-hat hacker, cracker en weet ik wat al niet allemaal. Als een hacker een veel gebruikte term is voor mensen die verkeerde dingen doen met computers en als de meeste mensen deze term als zodanig kennen, dan kan je dat veel beter gebruiken dan van die vage termen die alleen in 13337 kringen worden gebruikt om onderscheid te maken tussen mensen die inbreken met goede voornemens en mensen die inbreken met slechte voornemens. Als ik een inbreker in mijn huis zie is die crimineel bezig, ook als die alleen maar even mijn slot wilde testen.
three2five @Verwijderd22 oktober 2007 16:12
Laten we ook dan maar gelijk een paar andere termen die hun oorsprong in de IT vinden verkrachten omdat dan maar de grote massa het niet zou begrijpen.


De grote massa ken t het verschil niet meer door de media, niet doordat de massa het onvermogen heeft het verschil te begrijpen. Tuurlijk maken de techy guys zich hier kwaad om, die moeten weer gaan uitleggen aan de minder techy guys wat een hacker en een cracker is. Net als dat de techy guys kwaad worden wanneer er word geclaimed dat downloaden van muziek illegaal is, net als dat er verkeerd word omgesprongen met GiB vs GB etc.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq