'Malware Omroep Zeeland was bankentrojan' - update

De malware waarmee Omroep Zeeland zijn gebruikers onbedoeld besmette, was een kloon van de beruchte Zeus-malware. Dat stelt een beveiligingsexpert. De malware kan worden gebruikt om fraude met internetbankieren te plegen.

Donderdag bleek dat meerdere browsers de website van de Omroep Zeeland blokkeerden, omdat er mogelijk sprake was van malware. Beveiligingsexpert Erik Loman van Surfright, ontwikkelaar van Hitman Pro, stelt in een reactie op Tweakers.net dat het gaat om de trojan Citadel, die kan worden gebruikt om fraude met internetbankieren te plegen. Citadel is een opensource-kloon van de beruchte Zeus-trojan.

Omroep Zeeland was vrijdag niet in staat om een reactie te geven op de bevindingen van Loman. Wel heeft de omroep donderdagavond bevestigd dat er sprake was van malwareproblemen. Waarschijnlijk waren banners op de site verantwoordelijk voor het verspreiden van het virus; dat is een techniek die criminele groeperingen vaker gebruiken om malware te installeren.

Loman stelt dat de trojan via een Java-exploit is geïnstalleerd. Het advies van Omroep Zeeland om AVG of Avira te gebruiken om de trojan op te sporen, heeft waarschijnlijk weinig zin, omdat deze de malware nog niet herkennen. Ook veel andere virusscanners, zoals die van Avast, Microsoft, Sophos en Symantec herkennen het virus nog niet. Onder meer Kaspersky, NOD32 en een McAfee-editie doen dat wel.

De Omroep Zeeland adviseert om de virusscanner te updaten voordat deze wordt gebruikt, maar een van de 'features' van Citadel is juist dat updates van virusscanners via dns-wijzigingen worden verhinderd. Hoeveel gebruikers door de trojan zijn getroffen, is onbekend.

Het gaat om andere malware dan bij NU.nl; die site werd getroffen door de Sinowal-trojan, die al jarenlang logingegevens van gebruikers steelt. Die vestigt zich in het master boot record van de harde schijf, waardoor veel beveiligingssoftware moeite heeft om het virus te verwijderen. Naar schatting 100.000 NU.nl-bezoekers zijn besmet met die trojan.

Eerder deze week werd ook Bart Smit getroffen door malware-waarschuwingen in browsers. Of er daadwerkelijk malware aanwezig was op de site van de speelgoedwinkelketen is onduidelijk. Het bedrijf wil niet ingaan op de zaak: "Wij geven nooit interviews", laat het hoofdkantoor weten.

Update, zaterdag 16:13: Bij de reactie van Loman moet worden aangemerkt dat Loman weliswaar de malware onderzocht die waarschijnlijk op Omroep Zeeland te vinden was, maar dat dat niet met zekerheid te zeggen is. Hij haalde de malware namelijk van een andere website, die waarschijnlijk met dezelfde malware besmet zou zijn geweest. Ook is de analyse van VirusTotal soms niet altijd correct, waardoor niet duidelijk is of AVG, Avira en overige virusscanners de dreiging daadwerkelijk niet herkennen. Dat laat Roel Schouwenberg van Kaspersky weten.

IT-banen

Reacties (33)

Gimmeabrake

30 maart 2012 19:18

Citadel is een opensource-kloon van de beruchte Zeus-trojan.

Dit schijnt dus een redelijk nieuwe ontwikkeling te zijn, de ontwikkelaars van Citadel hebben gewoon een issue/bug tracker opgezet en geven gebruikers zelfs de mogelijkheid om zelfgemaakte modules up te loaden. (bron: artikel op computerworlduk.com)

Ik vind dit een zorgwekkende ontwikkeling, het bewijst maar weer eens dat de cybercriminaliteit heel hard aan het groeien is en dat er steeds meer samenwerking plaatsvindt tussen de hackers die malware schrijven. Ik hoop dat de beveiligingsbedrijven deze ontwikkelingen kunnen blijven bijbenen, en dat de gewone gebruiker eindelijk eens bevat hoe belangrijk het is om zich een beetje met de veiligheidsmaterie te bevatten(leren malware te herkennen bijv.) in plaats van te denken: "ach, ik heb toch [vul fancy beveiligingspakket-naam in], mij kan niks gebeuren!".

FreshMaker @Gimmeabrake • 30 maart 2012 19:53

[...]

dat de gewone gebruiker eindelijk eens bevat hoe belangrijk het is om zich een beetje met de veiligheidsmaterie te bevatten(leren malware te herkennen bijv.) in plaats van te denken: "ach, ik heb toch [vul fancy beveiligingspakket-naam in], mij kan niks gebeuren!".

Zijn 2 dingen die je noemt

op punt 1 kan je je niet scholen, je gaat naar nu.nl / 'vulmaarin.nl' en het kwaad is al geschiedt
De gebruiker ziet het niet, merkt het (nog) niet, op de achtergrond verspreid de rommel zich al

als je als argeloze gebruiker naar 4chan of hacmijnpcvoordelol.com gaat ben je gewoon dom, de eerste 2 zijn gevestigde namen, daar ziet of merkt de gebruiker niets van

Helaas zal de beveiliginssoftware altijd ver achterlopen, stiekem pleit ik dan voor een vorm van censuur, laat alles inscannen voor het jou bereikt, zal een hoop afgevangen worden ( onhaalbaar, weet ik )

Gimmeabrake

@FreshMaker • 30 maart 2012 21:57

Helaas zal de beveiliginssoftware altijd ver achterlopen, stiekem pleit ik dan voor een vorm van censuur, laat alles inscannen voor het jou bereikt, zal een hoop afgevangen worden (onhaalbaar, weet ik)

Het zou best wel eens haalbaar kunnen zijn, maar wat is het verschil tussen een up-to-date virusscanner bij de ISP en een up-to-date virusscanner op je PC? Het is niet zo dat ze opeens meer kunnen detecteren als ze het scannen voordat het op je pc aankomt, en de privacy komt toch wel behoorlijk in het geding op die manier...

Je hebt overigens gelijk dat er in het geval van een worm niet veel aan te doen valt, maar bij trojans is het toch echt de gebruiker die de malware binnen laat.

Voor de rest bedoelde ik met het informeren van de eindgebruikers dat men niet langer meer het schijngevoel ingepraat mag krijgen dat men veilig is als er maar een of ander virusscannertje op de pc geinstalleerd staat.

Als ik bij een kennis/vriend even achter de pc zit (om bijv. voor diegene een of ander softwarepakket te installeren) en ik ondertussen constateer dat diegene malware heeft, krijg ik gewoon té vaak te horen dat dat niet kan omdat er toch een beveiligingspakket geinstalleerd staat dat elke dag update en XX euro heeft gekost.

erikloman 31 maart 2012 22:01

Bij de reactie van Loman moet worden aangemerkt dat Loman weliswaar de url van de exploit gebruikte die aanwezig was op Omroep Zeeland, maar dat niet met zekerheid kan worden gezegd dat op die url op dit moment dezelfde malware aanwezig is als afgelopen donderdag.

Het onderzoek is dus donderdag gedaan. Omdat ten tijde van het onderzoek omroepzeeland.nl werd schoongemaakt heb ik de exploit site opgesnort (zie daar omroepzeeland.nl staan) en vervolgens donderdag een testsysteem laten infecteren.
Theoretisch kan elke bezoeker met andere malware besmet worden. Maar het feit dat besmette bezoekers hetzelfde gedrag melden gaf de doorslag dat Citadel via omroepzeeland.nl geserveerd is geweest. Misschien werd er ook andere malware geserveerd, dit heb ik echter niet kunnen constateren in de tijdspanne van het onderzoek.

Ook is de analyse van VirusTotal soms niet altijd correct, waardoor niet duidelijk is of AVG, Avira en overige virusscanners de dreiging daadwerkelijk niet herkennen.

Een antivirus kun je inderdaad niet volledig beoordelen op slechts de statische detectie. Ik zei dan ook "weet ik niet of dat wel gaat helpen". Daarnaast heb ik in mijn onderzoek getracht het advies van Omroep Zeeland op te volgen en geprobeerd AVG of Avira te downloaden op de besmette omgeving maar dit is niet gelukt omdat Citadel de websites van antivirusbedrijven blokkeert (zoals ook gemeld in mijn onderzoek). Dit gedrag, samen met de output van GMER (tal van inline-hooks op specifieke Windows APIs; een Zeus-achtige infectie) en een tip van een collega-bedrijf kwam ik uit bij Citadel.

juanita 30 maart 2012 20:09

Gewoon niet met administrator rechten het internet op. Zo simpel. Wanneer gaan we dat nou eens met zijn allen inzien.

erikloman @juanita • 30 maart 2012 20:32

Dat is zeker goed advies. Echter, dat helpt bij de meeste banking trojans niet want die draaien gewoon met dezelfde rechten als de ingelogde gebruiker. Beheerder rechten zijn niet vereist.

Zie ook dit artikel:
http://www.prevx.com/blog...ealing-trojan-leader.html

Due to the way the Trojan is designed, it is perfectly able to steal sensitive data from every PC, no matter if it runs with administrative privileges or limited user account.

[Reactie gewijzigd door erikloman op 23 juli 2024 20:48]

Armin @erikloman • 30 maart 2012 20:44

En we moeten ook niet vergeten dat er een verschil is tussen trojans en worms.

Het is me niet helemaal duidelijk waarom deze variant van Zeus een trojan genoemd wordt als het zonder gebruikersinteractie binnengehaald wordt. Hét kenmerk van een Trojan is nu net dat de gebruikers een bewuste actie onderneemt, met daarin verstopt de ongewenste bijvangst. Immers het bekende verhaal van het Paard van Troje ...

Ik denk dat het komt omdat het gebruik maakt van adds. De klassieke truc bij adds is de gebruiker proberen te doen klikken op een advertentie. In dit geval bereep ik echter dat het via een java-lek zichzelf ongevraagd verspreide zonder gebruiker-interactie.

Maar mij punt is eigenlijk meer dat wormen een strijd tussen criminelen en professionele bedrijven is. De criminelen zoeken lekken en misbruiken ze, en de professionele bedrijven proberen lekken te vinden/fixen en bouwen mechanisme om de effecten van lekken kleiner te maken (sandbox, anti-malware, etc).

Maar bij trojans is de grootste zwakte, de gebruiker. Besmettingen met trojans zijn dan ook steeds meer een 'social engineering' kwestie dan technische. Educatie van gebruikers is daarin veel belangrijker. "Be Paranoid" zeg maar ...

Notlupus 30 maart 2012 18:57

Die sinowal was anders vrij simpel te verwijderen met TDSSKiller van Kaspersky! Verder kan je er over klagen, maar als je hoort dat de grootste bedrijven gehacked worden en alle gegevens op straat komen te liggen dan kijk je er met "nietszeggende" websites als Nu en Omroep Zeeland al helemaal niet meer van op dat ze onveilig zijn.

[Reactie gewijzigd door Notlupus op 23 juli 2024 20:48]

FreshMaker @Notlupus • 30 maart 2012 19:47

En daar valt het argument van de "slimme pcgebruiker" zonder virusscan.

"Ik weet welke sites ik mag bezoeken"
Zijn we van die drogreden ook af !

Pep7777 @Verwijderd • 30 maart 2012 20:08

Wakker worden!!!

Hack tool, kaapt Windows/Linux & Mac via Java Lek!
http://www.security.nl/ar..._en_Mac_via_Java-lek.html

[Edit: reacties @hieronder]
Niet Zeus, maar wel andere banking Trojan(s).

Bijv: http://www.v3.co.uk/v3-uk...rs-online-banking-details

Hoe dan ook het blijft een flink staaltje struisvogel politiek als je denkt dat je op wat voor OS dan ook (mobiel, of niet) helemaal veilig bent. En Apple's Gatekeeper bestaat ook niet voor niets.

[Reactie gewijzigd door Pep7777 op 23 juli 2024 20:48]

Verwijderd @Pep7777 • 30 maart 2012 21:20

het verschil is echter dat de java exploit wel werkt maar er geen Zeus versie voor max of linux is.

mad_max234 @Verwijderd • 31 maart 2012 10:57

het verschil is echter dat de java exploit wel werkt maar er geen Zeus versie voor max of linux is.

Mac zal met de dag meer boelwit worden van kwaadwillende, kwestie van tijd dat mac net zoveel op hun dak krijgen als Windows, immers word mac steeds populairder en zullen de pijlen langzaam naar mac gericht worden. Maar met die paar procent marktaandeel dat mac nu heeft zijn de pijlen nog steeds voor 95% op Windows gericht.

Enige wat mac veiliger maakt is dat hackers het niet als hoofddoelwit zien, verder is mac niks veiliger dan win, zitten net zo hard bugs/exploits in, maar word alleen nog niet zo hard naar gezocht als dat op het Windows platform al jaren gebeurd.

bantoo @Pep7777 • 30 maart 2012 21:50

En op alle huidige Linux distros wordt je gewaarschuwd als je browser Java nodig heeft voor een site en ga ik er van uit dat dit alleen voor Sun Java is en niet voor de open versie.

mad_max234 @bantoo • 31 maart 2012 11:00

Onzin, of moet kernel functie zijn want zijn zat disto die zo kaal mogelijk geleverd worden, zit nog geen eens een browser in. Dus weet niet hoe jij erbij komt dat ALLE linux je waarschuwen want dat doen ze niet. Wellicht het handje vol bekende disto die populair zijn bij consumenten zoal ubuntu.

_JGC_ @FreshMaker • 30 maart 2012 22:05

Alsof een virusscanner alles tegenhoudt... er zijn maar een paar scanners die deze malware detecteren, als je niet toevallig die scanner hebt geinstalleerd heb je er nog niks aan.

mad_max234 @_JGC_ • 31 maart 2012 11:03

Geen enkele virusscanner vind alle virussen/malware, je bent dus nooit 100% veilig al heb je virus scanner, bewust surfen en niet overal zomaar op klikken en downloaden help minsten evenveel tegen besmetting als virusscanner.

Je weet nooit of je virus vrij bent als je op het internet zit met de pc, geen enkele software die dat kan garanderen.

Mangofruit @Notlupus • 30 maart 2012 21:28

Raar ik download je programma en Avira geeft aan dat er een virus in het bestand TDSSkiller zit.

Deze : TR/Crypt.ULPM.Gen [trojan]

[Reactie gewijzigd door Mangofruit op 23 juli 2024 20:48]

moreasy @Mangofruit • 30 maart 2012 22:10

FYI: Mijn AVG meld niets bijzonders aan de genoemde TDSSKiller tool. Ik heb hem zowel van de Kaspersky als van Softpedia (secure download) gedownload.

Mangofruit @moreasy • 30 maart 2012 22:16

Ik heb hem via de bovenstaande link gehaald, direct bij Kaspersky.

Pep7777 30 maart 2012 19:13

Weer een reden waarom ik blij ben dat ik advertenties zo veel mogelijk blokkeer
(en java eraf heb gegooid).

Het eigenlijke probleem zit hier natuurlijk een probleem bij advertentie providers, die de banners aanleveren. Vooral de wat kleinere kunnen zich blijkbaar niet veroorloven om (continu) te checken wat ze presenteren.

Terwijl ik eigenlijk vind dat ze daar voor verantwoordlijk gesteld moeten kunnen worden.
Nu is het vaak nog te makkelijk om een advertentie aan te bieden ter controle en deze later alsnog te vervangen door wat anders.

Het is natuurlijk ook aan bijv. Omroep zeeland in dit geval om een betrouwbare advertentie provider te gebruiken. Ik hoop dan ook dat ze aankondigen het contract met de huidige reclame maker op te zeggen.

Tja en de houding van Bart Smit vind ik erg flauw. Er was een vraag om informatie, niet een volledig interview.

Armin @Pep7777 • 30 maart 2012 19:29

Niet alleen flauw, maar ook onverantwoordelijk van Bart Smith.

Als het niet waar is, is het in het belang van het bedrijf meteen te stellen dat het een onjuist gerucht was. (En ik denk dat men dat ook wel gedaan had als dat zo was.)

Als het wél waar is, is het juist zaak zo snel mogelijk informatie te geven zodat bezoekers beter kunnen nagaan of ze besmet geraakt zijn en zo ja, hoe te verwijderen en nog belangrijker welk risico men gelopen heeft.

Sommige malware is relatief onschuldig, terwijl anderen je bankgegevens proberen te ontfrutselen. Hoe langer een besmetting duurt hoe groter de schade.

En als Bart Smit het niet weet (wat ook kan) zeg dan dat je het nog aan het onderzoeken bent.

Ronduit schandalig dus om 'no comment' te stellen.

Overigens is het probleem van advertenties vaak tussenpersonen. Een website doet zaken met een legitiem addvertentiebedrijf. Dit legitieme bedrijf verkoopt vaak haar advertentieruimte weer aan 3den. Deze derden op haar beurt doet dan ook zaken met de criminelen en brengt opeens ook malkware advertenties in, terwijl het daarvoor enkel legitieme advertenties verkocht.
Of enkel legitiem ogende... Vaak kopieren ze ook bestaande adds waardoor het heel lastig is echt van nep te onderscheiden.

Het is voor kleine advertentiebedrijven zo goed als onmogelijk om deze criminele paraktijken tegen te gaan. Zij zijn in feite ook slachtoffer, want zij worden opgelicht door die derden.

greko @Armin • 31 maart 2012 08:01

bart smit had deze trojan stond bij een java plaatje.
ik heb ze vorige week vrijdag rond 10 uur in de ochtend zelfs gelijk gebeld en gemailt..

deze melding kreeg ik.

http://www.microsoft.com/...le.AR&threatid=2147653143

op me mail kreeg ik daarna antwoord dat ze met man en macht bezig waren het probleem te herstellen.
nog geen bedankje gehad op me melding van bart smit

renevanh 30 maart 2012 18:58

Er zijn op dit moment wat reclamebanners in omloop die malware proberen te verspreiden. De meeste browsers waarschuwen je daarvoor (behalve IE natuurlijk), maar het duikt op heel wat sites op.

BastiaanCM @renevanh • 30 maart 2012 21:25

AdBlock anyone ? (Niet dat dat in dit artikel van toepassing lijkt te zijn)

Ongewenst in situaties, maar kom op.

Het bespaart mij niet alleen storende advertenties, maar blijkbaar ook virusrisico`s en veel energie (die vooral van belang is op mobiele devices )

[Reactie gewijzigd door BastiaanCM op 23 juli 2024 20:48]

Verwijderd 31 maart 2012 16:30

Lees hierboven de suggestie dat ISPs dan maar verantwoordelijk gemaakt moeten worden voor het verkeer over hun netwerk. Hoop dat je dit niet serieus bedoed, want dan zou je als gevolg ook moeten toestaan dat de isp's alle verkeer tot in detail checken (als ze verantwoordelijk zijn en dus 'fout' verkeer moeten blocken moeten ze het eerst kunnen checken): de bowers van DPI apparatuur zouden blij zijn - maar dat moeten we echt niet willen. Er wordt nu al veel te veel informatie (deels verplicht) bewaard door ISP's. Bovendien is rijkswaterstaat toch ook niet verantwoordelijk als een dronken persoon een weg van RWS gebruikt en dan iemand aanrijdt. Of KPN als ontvoerders een telefoonlijn gebruiken om hun eis door te bellen....Als er al iemand verantwoordelijk zou moeten zijn zijn het de banken die de beveiliging niet voldoende op orde hebben: maar een 100% veilige wereld krijg je niet (sterker nog: wil je ook niet hebben - dat wordt dan Orwells 1984 in het dubbel-kwadraat)

Loller1 30 maart 2012 20:46

Lang leven Tracking Protaction Lists en een Java-loze PC zou ik zo zeggen.

Wel vind ik het nog al onrustwekkend dat het zo makkelijk is om een trojan te verspreiden. Dat die advertentie-bedrijven maar eens heel goed op hun beveiliging gaan letten. Stel je voor wat er zou gebeuren, mocht dit ooit Googles AdWords overkomen, op 1 dag tijd de helft van de wereld besmet met 1 trojan.

CaptJackSparrow 30 maart 2012 21:38

Wat ik helaas niet expliciet vermeld heb zien worden maar welzeker interessant zou vinden is om te weten of die banners die de malware serveerden van externe sites af kwamen en of die hun werk ook konden doen als je met NoScript de Javascripts van die externe sites geblokkeerd had gelaten.

Al meerdere jaren geleden begon ik het gevoel te krijgen dat zowel Java als Javascript teveel potentiële beveiligingsrisico's met zich mee brachten, omdat er gewoon teveel mee kan, zodat ik toen add-ons in Firefox heb geïnstalleerd om Java en Javascript aan banden te leggen. Voor Javascript gebruik ik daarvoor het ondertussen zeer bekend geworden NoScript en met QuickJava heb ik een aantal knopjes in mijn statusbalk staan waarmee ik o.a. Java makkelijk aan en uit kan schakelen. Java staat standaard uit en slechts zeer zelden wordt die even ingeschakeld als dat nodig is. Browsers bieden tegenwoordig ook zelf al beperkingen m.b.t. Java en vragen evt. of Java van een site uitgevoerd mag worden.

Het is zeer verhelderend om te zien van hoeveel externe sites er allemaal Javascripts geladen worden met sommige pagina's. Het merendeel daarvan is meestal helemaal niet nodig om de pagina te laten 'werken' en die worden door mij dan ook niet toegelaten. Ze zijn vaak om advertenties te serveren of om surfgedrag te tracken. Nee dank u. Geen behoefte aan. Het geeft helaas wat extra handelingen om soms wat extra Javascripts (tijdelijk) toe te laten maar liever dat dan die scripts maar ongebreideld hun gang te laten gaan. En soms als een site hardnekkig blijft weigeren te werken dan sluit ik die pagina en ga ik wel elders mijn informatie halen. Dan ga ik behoorlijk argwanend worden over zo'n site en neem ik liever geen risico's meer. Met een beetje gezonde paranoia hou je je computer vrij van malware.

Ik zou graag zien dat de redactie dat soort informatie bij dit soort berichten zou vermelden. Als de infectie bijv. voorkomen had kunnen worden door met NoScript niet méér scripts toe te laten dan die van in dit geval Omroep Zeeland zelf en verder geen externe scripts dan is het zeer nuttig om dat te weten en dan kunnen mensen daar van leren.

Verwijderd 30 maart 2012 23:35

Lang leve de papieren acceptgiro en internet banking er helemaal uit.
Ik weet niet hoe het tegenwoordig in Nederland is maar zelfs in dit 3e wereldland Ierland (waar we wel alle technologie-bedrijven met hun EU, EMEA of zelfs WW support hoofdkantoor zitten; maar de eigen internet infrastructuur is verre van 'state of art') maar als je hier een wat hoger bedrag overboekt moet je niet alleen de opdracht zelf tekenen met je edentifier - maar op basis van enkele (willekeurige) cijfers uit de destination bankrekening moet je apart tekenen: dus zelfs al zou er een 'man in the middle' zitten die jouw e-handtekening kan onderscheppen kan hij die authenticatie toch nog niet gebruiken om geld naar een andere rekening over te boeken omdat dan die 2e controle niet klopt.
Volgens mij nog steeds een hele aardige beveiliging tegen hijacken van betaal-sessie/transacties: alleen bij betrekkelijk lage bedragen loop je nog wat risico maar dat is nog behapbaar....
Maar ja: vroeger konden ze je papieren betaalopdrachten onderscheppen en een verrvalste betaalopddracht van maken: alleen nu kunnen ze in no time dat geld weer tig keer door-overmaken zodat het heel lastig terug te tracen is. Maar een risico-loze wereld is er niet en je moet zelf heel alert blijven of de betaalopdracht die jij net hebt ingevoerd ook nog overeenkomt met de details van de overschrijving die je vervolgens 'ondertekent': je kan/mag niet uitgaan van de 'veilige wereld'. (net zoals je toch echt even links en rechts moet checken bij het oversteken op groen voetgangerslicht of er niet iemand met 150 aan komt jakkeren met 5 liter bier in zijn mik).
Maar ja: wedstrijd tussen criminelen en -bestrijders is voor eeuwig...

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (33)

Sorteer op:

Weergave: