Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 195 reacties

Nu.nl heeft circa een uur lang javascript-code geserveerd die poogde om bezoekers van de nieuwssite met een trojan te besmetten. De aanvallers maakten gebruik van servers in India waarop een exploit-kit was geplaatst.

Erik Loman, ontwikkelaar bij beveiligingsfirma SurfRight, maakte op Twitter bekend dat op de voorpagina van de nieuwssite javascriptcode 'g.js' was verstopt. De code activeerde volgens Loman een nuclear exploit pack dat op een webserver in India was geplaatst. Het exploit-script controleerde de browser en veelgebruikte plugins als Flash en Adobe Reader op beveiligingsgaten. Als er een exploit werd gevonden, verstuurde de server de Sinowal-malware, een trojan van Russische makelij, die continu wordt bijgewerkt en poogt bankgegevens te stelen. Sinowal nestelt zich op de master boot sector en wordt bij elke herstart van een computer ingeladen.

Volgens Loman heeft Nu.nl de malware tussen circa 11.30 en 12.30 geserveerd. Mogelijk is bewust gekozen voor deze tijd, omdat de nieuwssite rond lunchtijd meer bezoekers zal trekken. Ook zou de aanvaller rond 12.00 de javascript-code hebben aangepast om zo naar een andere server te verwijzen waarop de exploit-kit was geplaatst. Loman stelt verder dat er al meldingen zijn van Windows-gebruikers die met malware besmet zijn geraakt.

Het is onduidelijk hoe de aanvallers de javascript-code op de server van de nieuwssite hebben weten te plaatsen. Nu.nl heeft inmiddels de gewraakte javascript-code offline gehaald. Ook zal de nieuwssite een onderzoek instellen.

Update 16:10: Nu.nl meldt inmiddels dat een account voor het content management systeem woensdag 'in verkeerde handen is gevallen'. Vervolgens werd tussen 11.30 en 12.30 malware aangeboden via de nieuwssite. Nu.nl stelt dat de malware inmiddels is verwijderd. Ook zijn nieuwe inloggegevens uitgedeeld aan beheerders en redacteuren, en worden logbestanden nageplozen. Ook zal de bestaande content worden gecontroleerd op de aanwezigheid van mogelijk kwaadaardige code, zo belooft de nieuwssite.

Moderatie-faq Wijzig weergave

Reacties (195)

1 2 3 ... 8
Naar aanleiding van de hack op nu.nl heb ik een infectietest ontwikkeld, zodat je kan controleren of je door nu.nl een virus gekregen hebt.

Laat je computer nu testen door op het onderstaande adres te klikken:
http://sijmen.ruwhof.net/js/nu.nl-infectietest/
Gedetecteerde softwareversies
Java: 6.0.31
Adobe Reader: 10.1

De test is voltooid. Je kan niet geïnfecteerd geraakt zijn, omdat de software op je computer niet kwetsbaar was voor de aanval die via nu.nl is uitgevoerd.
En dat klopt ook, PC is net geheel gescanned door GMER en TrendMicro en schoon bevonden. Maar goed gedaan, topservice!
Goed werk!

Hiermee kan ik een hoop familieleden gerust stellen!
Dit zouden ze op de nu site moeten aanbieden! Dan kunnen ze bezoekers meteen weer geruststellen.
Je test checkt voorzover ik zie op de java versie en adobe reader. Maar java heb ik net vanmorgen geupdate. Dus van die check wordt ik helaas niet veel wijzer.
Adblock Plus is prettig om sneller te surfen en irri reclames voor filmpjes te blokkeren. Maar daarnaast kan ik ook echt NoScript als add-on aanraden. Dan draait er nooit meer iets 'vanzelf', pakt het gros van de reclames tegen, je krijgt inzicht in hoeveel websites en op wat voor manier ze aan het data-minen zijn. (eng op hoeveel sites fbcdn.net en googleanalytics scripts draaien).

Gezamelijk met Ghostery en BetterPrivacy maakt het surfen nagenoeg onkwetsbaar voor dit soort exploits. Zou standaard in elke browser moeten zitten eigenlijk, maar enfin.
Tenzij je no-script had ingesteld om geen enkel script te draaien, had het niet veel geholpen, lijkt me.

Het javascript werd geserveerd vanaf het nu.nl-domein zelf.

Het is een vrij standaardinstelling om wel een domein dat je bezoekt javascript uit te laten voeren, anders gaat het halve internet kapot en kun je beter met Lynx gaan surfen.
NoScript is een nuttige addOn, maar is vaak ook een onding. Ik gebruik het al ruime tijd, maar vaak merk je dat functionaliteit van websites die je bezoekt niet werkt. Dan zie je dat er een hoop domeinen zijn geblokkeerd.

Als je wilt dat het werkt kun je die wel unblocken, maar vaak is niet duidelijk welk domein wel of niet nodig is.

Voor het huisige internet is zo vaak javascript nodig dat veel sites juist niet correct meer werken zonder extra handelingen. De kans is (door de vele meldingen die je hebt) ook groot dat je (door de vele "false positives") ook scripts toestaat die juist geblokkeerd hadden moeten worden.
Wat is met chrome eigenlijk het verschil tussen Adblock en Adblock plus?
Wat zijn de beste alternatieven voor NoScript en BetterPrivacy voor Chrome? (Ghostery had ik al, is er ook gewoon voor Chrome en Opera)
Eng op hoeveel sites fbcdn.net en googleanalytics scripts draaien? Volgens mij is het tellen van je bezoekers de normaalste zaak van de wereld. Ik heb in elk geval nog geen klant gehad die die behoefte niet had.
Was deze Malware-aanval specifiek voor Windows platform of kan je als linux en OS X gebruiker ook slachtoffer worden?.


Bericht van Fox-IT over de Malware:
It has come to our attention that the popular Dutch nu.nl website has been compromised.
This compromise consists of an exploit kit, abusing a vulnerability found in browsers using an outdated Java plugin. It is known within the intelligence community as the ‘rhino exploit’.

[Reactie gewijzigd door muhda op 14 maart 2012 15:06]

Vraag me ook af of dat het voor OSX heeft gewerkt, heb namelijk rond die tijd wel nu.nl bezocht.
Ik heb er met Linux ook opgezeten (en ja java is geinstalleerd), maar niks.
Niet dat het iets had kunnen doen zonder beheerders-wachtwoord
Ehh hoe komt dat bestand daar op die server? Ze mogen wel eens heel snel gaan kijken wat er aan de hand is. Zolang er geen wedernieuws is zou ik mooi geen gebruik van nu.nl maken. Het bestandje weghalen lost het even op, maar hoe is het daar in eerste instantie gekomen? Heck, de HTML is dus ook aangepast, anders doet zo'n bestandje daar ook niets. Lijkt me dat er ergens een lek is, en dat iemand of van binnen of van buiten nu.nl gewoon toegang heeft tot de server en vrolijk verder kan gaan.
Het lijkt me dat ze dat nu ook aan het doen zijn. Maar eerst kijken en het dan pas weghalen is niet echt een handige volgorde lijkt me.
Zo'n lek hoeft niet perse de HTML aan te passen, je kan via javascript andere javascript files inladen.
Kan dit niet gedaan worden door een xss aanval ?
Dit was er eentje :)
http://www.gmer.net/

Dit programma scant snel even je MBR op rootkits. Heb net even bij mij en mijn huisgenoot gedraait. Gelukkig zelf geen problemen, huisgenoot had rootkit erop ztten. :)
Rond 1300uur een Flash update popup, dit kreng komt wel vaker langs in beeld dus gewoon clicky en weg met dat gezeur (want anders blijf ik 'm houden bij elke reboot, zelfs na in msconfig alles mbt. flash weggeklikt te hebben).
So far so good (I thought)...

Lees nu dit bericht, en toch nieuwsgierig. Een virusscanner "doe ik niet aan"(al is 't maar om geen last te hebben van false positives van m'n oude no-cd cracks).
Ben op de hoogte van de nadelen!

Even gezocht naar een handig tooltje welke snel en makkelijk sinowal kan herkennen en verwijderen. Trendmicro heeft hier een handig programmatje voor (.exe downloaden, runnen, haalt library binnen (paar sec) en heeft binnen 10 minuten een full "fast scan" gedraaid (500g schijf, q6600)).
http://housecall.trendmicro.com/

Had 'm dus op m'n systeem staan, Trendmicro herkent en verwijderd 'm netjes.
Voor de zekerheid even een rondje wachtwoorden veranderd, je weet maar nooit.

Bij deze dus de tip voor mensen ZONDER virusscanner, even de housecall van Trendmicro draaien. (herkennen + fix!)

-ik gebruik een updated Firefox mét addblock + noscript (welke op allow scripts globally stond... lesje geleerd). bij deze dus duidelijk dat die niets uithaalden.

[Reactie gewijzigd door dyrc op 14 maart 2012 15:49]

Een systeem zonder virusscanner met firewall is al jaren gekkenwerk. Je hoeft na je verse OS install maar even op google te browsen voor een driver en je hebt al een trojan te pakken.

False positives zijn irritant maar daarvoor is de exclude optie uitgevonden.

Wat ik overigens niet geinstalleerd heb ik Java :) dat werkt ook ;). Bij normaal surfen helemaal niet nodig. Vindt het een verschrikkelijk bloatware systeem, 6000+files en +- 120 mb en elke update die er is blijft staan op je systeem. Enige manier om ze op te ruimen is alles te deinstalleren en dan de nieuwste versie te installeren... Mocht ik perse java nodig hebben dan start ik firefox op ^^.

[Reactie gewijzigd door sdk1985 op 15 maart 2012 13:30]

Op security.nl wordt gemeld dat deze malware ook via fok.nl verspreid wordt.
Nee hoor, adblocker blokkeerde het script niet, maar AVG wel!

Wel met een beetje wazige meldigng. Op het forum heb ik daarover een draadje geplaatst:

Got-link: mops63jger.info op nu.nl-site.
de noscript plugin zou een infectie ook voorkomen hebben (mistje je nu.nl natuurlijk uitgesloten had)
Het werd NIET via een advertentie geserveerd maar DIRECT vanaf NU.nl (www.nu.nl/files/g.js)

Ad blocker had hier niet geholpen.
Maar een scriptblocker (bijvoorbeeld NoScript of NotScript) weer wel.

Thirdpartyscripts moet je eigenlijk standaard wantrouwen en slechts bij uitzondering handmatig toestaan. Maar als het direct van de hoofdsite wordt dan is het wel een groter probleem omdat je er een dagtaak aan hebt om dat handmatig per script bij te werken.
Je browser helemaal uitschakelen had ook gewerkt.
Hij wordt weggemodereerd maar heeft wel een punt.

Javascript is één van de drie pijlers onder het web (HTML en CSS zijn de andere twee) en als je dat uitzet zijn er nog maar heel weinig sites die het doen. Zo weinig, dat je net zo goed gewoon je browser helemaal kunt afsluiten.
Hmja, maar tigger heeft ook een punt. Als je NoScript hebt aanstaan en naar bijvoorbeeld de telegraaf-site gaat, dan vallen de schellen je van de ogen. Vanaf meer dan tien domeinen worden er scripts op je afgevuurd. Voor de juiste weergave van de site is dat natuurlijk niet nodig.
gast ga is wat nuttigs posten ipv snel de eerste post krijgen. Adblocker of niet, een normale gebruiker (dus geen tweaker) weet daar standaard niks vanaf.
Plus dat het niet had uitgemaakt, aangezien de hacker root-access op de server had en de code dus niet via een ad werd geserveerd. Bron.
Uit jouw bron kan ik niet opmaken dat er spraken is van root-access, enkel van access tot de server. Dit kan ook enkel de webroot zijn geweest en hoeft dus niet noodzakelijk server-root te zijn. Laten we hopen dat het enkel webroot was want anders is het probleem mogelijk nog veel groter.
Een AdBlocker doet niet veel tegen dergelijke injectiescripts. Vaak 'weten' Adblockers welke websites / locaties reclame bevatten en worden deze geblokkeerd. Onbekende scripts (zoals hier het geval is, want het gaat waarschijnlijk om een nieuwe advertentie) worden echter vaak met rust gelaten (tenzij je JavaScript helemaal uitzet).
Overigens ben ik wel benieuwd hoe ze nu monitoren: aangezien het niet bekend is hoe de code geplaatst is kan deze over een uur bij wijze van spreken opeens weer op de website staan.

[Reactie gewijzigd door Xirt op 14 maart 2012 14:40]

Herkennen virusscanners als norton en AVG wel zulke trojans? of komen deze gewoon langs de beveiliging?
Hangt ervanaf, de een is daar beter in dan de ander. Punt is wel dat zodra dit virus erdoor is en zich als rootkit in je MBR nestelt, dat er vrijwel geen virusscanners en rootkit scanners zijn die dat ding nog kunnen detecteren.
Overigens komen dit soort virussen veel vaker voor, soms zitten ze gewoon jaren in het MBR verstopt en weinig tools die het kunnen vinden. Tegenwoordig scan ik niet alleen meer met virusscanners en hijackthis, maar pak ik ook Avast aswmbr erbij om het MBR te controleren op rootkits.
Mensen die dit misbruiken gebruiken packers en crypters om de virussen te maskeren. Vervolgens gebruiken ze een dienst als VirusTotal om te checken welke virusscanners het detecteren. Vaak worden packers en crypters verkocht met de garantie dat ze X periode een 0 scoren bij VirusTotal, wat betekend dat geen enkele virusscanner het stukje malware kan detecteren voor wat het is.
Bij mij op het werk gebruiken we Trend Micro en die geeft nog steeds aan dat het niet veilig is. dus iig deze geeft het wel aan
Heb ze zowel voor www.nu.nl als voor media.nu.nl gevraagd opnieuw te checken.
Anders unblocken.
Voor www.nu.nl is dat al gedaan.

Ook Trend Micro user hier ;)
Soms gebeurt het ook anders. Namelijk de advertentie die in element div#ads zitten. En wordt wat er ook maar in die div zit gewoon niet gerenderd, maar in het algemeen heb je gelijk.
Je bedoelt "niet zichtbaar gerenderd", of beter gezegd: 1) verborgen met CSS of 2) het hele DOM element wordt geleegd. In geval van 1), als in de ad-container een JS zat, is die allang uitgevoerd en dus eventuele exploit-code ook ...
En daarom moeten mensen hun software updaten! Maar dat doen ze niet...
En daarom moet er in windows een centraal updatesysteem komen om standaard softare gemakkelijk te updaten. Maar dat doen ze niet...
En daarom (zelf invullen..) ;)
probleem is dat een centraal systeem ook handig is voor censuur (op wat voor manier dan ook, zoals bij bijvoorbeeld Apple's App Store)
DeuTeRiuM heeft het over een centraal updatesysteem voor standaard software. Zo zou je de App Store van Apple ook kunnen zien, de meeste programma's mogen daar gewoon in staan, tenzij ze bepaalde permissies willen gebruiken die de sandbox omgeving niet toestaat (de niet-standaard programma's). Deze programma's kan je nog gewoon op de 'oude' manier kopen/downloaden van bijv. de website van de fabrikant of andere online distributiepunten.
Als OS leverancier moet natuurlijk wel de mogelijkheid open blijven om losse programma's te installeren, buiten de store (of liever: repository) om. Geen censuur dus, alleen een soort garantie dat de software geinstalleerd vanaf die plek virus/toolbar/* vrij is. Handig voor de Jan en Jannie van deze tijd; die hebben toch weinig specifieke software nodig.
En daarom moeten mensen noscript gebruiken! Al heb ik dat gebruikt en ik vond mijn surf-ervaringaanzienlijk slechter als ik javascript voor elke website handmatig moest handschakelen.

Of je kunt gewoon je browser en besturingssysteem regelmatig updaten en patchen.
Of dus Linux of Mac OSX draaien, die zijn vrijwel nooit vatbaar voor malware als deze.

Een adblocker had je hier dus totaal niet kunnen helpen. Daarbij is er nog altijd de vraag van moraliteit van het massaal promoten van adblockers, gezien advertentieinkomen de enige inkomstenbron van de meeste websites is, dus ik vind 10x +3 upvotes ook echt niet gerechtvaardigd voor je fipo.

[Reactie gewijzigd door chronoz op 14 maart 2012 14:51]

De exploit stond op nu.nl zelf, dus heb je met NoScript allang nu.nl gewhitelist staan, dus houdt die niks tegen. Of mis ik iets?
Ik gebruik Ghostery, en heb niet 1 site gewhitelist...
Of dus Linux of Mac OSX draaien, die zijn vrijwel nooit vatbaar voor malware als deze.
Sssst, niet verklappen!

De enige reden dat 'alternatieve systemen' zoals Max OS of Linux, of Opera of Firefox, minder vaak vatbaar zijn voor dit soort aanvallen is dat ze minder populair zijn en er dus minder moeite voor wordt gedaan om het te kraken. Maar als iedereen zou overstappen dan zou het interessanter worden om het te kraken en zou dat voordeel als sneeuw voor de zon verdwijnen.
Windows heeft momenteel een marktaandeel van ~85%, en Linux ~5%.

De hoeveelheid malware voor Windows in verhouding tot de hoeveelheid malware voor Linux kan zich echter totaal niet vergelijken met het marktaandeel.

[Reactie gewijzigd door ThePendulum op 14 maart 2012 16:34]

Windows: 92%, Mac OS: 7%, Linux 1%
Bron

Als ik virussen zou verspreiden zou ik het denk ik toch voor OSx doen, bijna niemand heeft een virusscanner (ik wel) en er zijn maar 120 trojans, virussen, exploits etc. Volgens mij is het probleem alleen dat het maken van een dergelijk stuk software voor een mac ook gewoon moeilijker is dan voor windows.
En daar komt nog een ding bij wat ik hier een beetje mis. Mensen die geen windows gebruiken weten vaak waar ze mee bezig zijn op computer gebied. Dat wil ook zeggen dat ze meer om hun beveiliging letten. Niet zomaar overal ja en amen tegen zeggen.

Veel mensen klikken maar wat en als je ze dan vraagt waarom dan krijg je een antwoord als "anders gaat hij toch niet verder!" Dan vraag ik mij echt af of een virusscanner of wat dan ook er iets aan dan doen. Als de gebruiker er toch (niet wetende) toestemming voor geeft.....
En daarna zeker maar zeuren dat je voor alle diensten moet betalen?
Het moet toch ergens vandaan komen hè?

Ik vind een paar advertenties helemaal niet erg, pagina vullende uitklapbare Flash advertenties daarentegen..

On-topic: Toevallig hier op het werk een meldinkje binnengekregen hiervan! Blijkt maar weer dat je er nog altijd op bedacht moet zijn!
Nee, daarom moet je een virusscanner gebruiken en niet zeggen "ja maar ik bezoek alleen maar bekende websites".
En daarom moeten mensen weer papieren kranten gaan lezen! Heb je nooit last van trojans :)
Maar heb je misschien wel ineens last van zilvervisjes die via papier je huis binnen sluipen :P
Je bedoelt dus NoScript.
En door mensen zoals GrooV zullen gratis websites, zoals nu.nl over de kop gaan omdat er geen inkomsten uit advertenties meer binnenkomen.

Daar al eens over nagedacht?
De meeste mensen kijken niet verder dan vandaag en morgen, helaas.
De gangbare virusscanners detecteren deze wel neem ik aan?
Nee, 43 virusscanners volgens VirusTotal hebben niets gevonden. Zie http://www.security.nl/ar...ezoekers_met_malware.html
De uiteindelijke download niet nee (Al ontbreekt de VT link), maar het stukje JS werd zeker wel door de meeste scanners onderschept. Daarnaast, zoals hierboven, veel scanners pakken hem op de geavanceerde heuristiek, die bij VT niet aan staat.

[Reactie gewijzigd door Slurpgeit op 14 maart 2012 15:01]

Sinowal/Mebroot/Torpig is een vrij rottig stukje software dat moeilijk gedetecteerd wordt en waarbij je vaak met verschillende scanners nog over de pc mag gaan om het volledig te verwijderen.

Norman Sinowal Cleaner is wel een aardige (blauwe downloadknop met pijl naar rechts, de overige vijf groene downloadknoppen zijn advertenties :') ).

Helaas voor de bezoekers is een herinstallatie vaak sneller klaar. Een tijdje geleden werd dit onding ook via een advertentie op de site van de Telegraaf geserveerd.

[Reactie gewijzigd door CodeCaster op 14 maart 2012 14:50]

NOD32 geeft bij het downloaden van die file aan ''waarschijnlijk onbekend NewHeur_PE virus''

Versie van database viruskenmerken: 6965, up-to-date dus.

[Reactie gewijzigd door Perkouw op 14 maart 2012 14:54]

Pfew,

Heb zelf ook NOD32, en wat aanvullende security maatregelen draaien, maar de vrouw zit nu thuis op de laptop, én checkt regelmatig nu.nl Nu maar hopen dat het genoeg was..

Overigens is mijn systeem altijd up-to-date, met flash, java en alle win-updates, maar dan nog...

Edit: ik heb overigens ook nog een 'harde schijf beveiliging' ingesteld. Dat vereist een wachtwoord alvorens er iets wordt opgestart op mijn pc. Is dat hetzelfde als de beveiliging van de MBR?

[Reactie gewijzigd door arthur-m op 14 maart 2012 15:18]

Nee, aangezien het alleen beveiligd op het moment dat de pc opstart en daarna pas naar de MBR kijkt. Het zit dus iets dieper dan alleen een wachtwoordje erop zetten ;)
Ja, heel vreemd dat een executable die virussignatures bevat gezien wordt als virus. Hij is schoon.
"Een tijdje geleden werd dit onding ook via een advertentie op de site van de Telegraaf geserveerd."

Euhm, wanneer was dat? Zie ook mijn reactie verderop hieronder.

[Reactie gewijzigd door moreasy op 14 maart 2012 16:03]

Een aantal maanden geleden toch wel, niet in de afgelopen weken. Het kan natuurlijk dat dezelfde, of een andere adverteerder wederom besmet is geraakt.
Thankx voor je update!
Goede vraag.. Een oplossing, of een check in het artikel zou het leven wat aangenamer maken. Enige ongerustheid bij gebruikers kan ik wel begrijpen.
meestal pas als de code al binnengehaald/geladen is, er is geen systeem wat 100% garantie geeft, sowieso als een malware-object nog niet in de database opgenomen is (of je moet met sandboxes gaan werken)
1 2 3 ... 8

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True