De websites van NRC Handelsblad en zusterkrant nrc.next hebben dinsdag een aantal uur malware verspreid. Dat heeft de uitgever van de websites van de krant, Han-Menno Depeweg, bevestigd. Het probleem zat in een extern advertentienetwerk.
De websites van NRC Handelsblad en nrc.next serveerden advertenties die malware probeerden te installeren op computers van bezoekers. Dat meldt de digitaal uitgever van de krant, Han-Menno Depeweg, op de website, die inmiddels nog steeds door onder meer Firefox en Chrome wordt geblokkeerd. Toen NRC ontdekte dat via banners malware werd verspreid, werden alle advertentiecampagnes uit voorzorg uitgeschakeld. De krant adviseert iedereen die sinds 7 uur vanmorgen op de sites is geweest, een virusscan uit te voeren.
Welk advertentienetwerk de boosdoener is, is op dit moment onduidelijk. "We weten nog niet om welk advertentienetwerk het specifiek gaat", zegt uitgever Depeweg tegen Tweakers. "Onze eerste prioriteit ligt bij het verwijderen van de infectie en de website weer bereikbaar maken." Daarna wil de krant onderzoeken waar de infectie precies vandaan komt. Duidelijk is wel dat de geïnfecteerde advertentieserver inmiddels uit de lucht is.
Hoewel de site inmiddels malwarevrij zou moeten zijn, blokkeren onder meer Firefox en Chrome de site nog. Firefox gebruikt net als Chrome de lijst van Google met websites die mogelijk gevaarlijk zouden kunnen zijn. Volgens Google werden via nrc.nl trojans verspreid, maar hostte de site zelf niet direct malware. "We hebben Google verzocht de blokkade weer op te heffen", aldus uitgever Depeweg.
Het gebeurt vaker dat websites via advertentienetwerken malware verspreiden. Eerder deze herfst deden advertenties op Telegraaf.nl dat. Vorig jaar verspreidden hackers malware via een ander advertentienetwerk, waarbij sites van onder meer Wegener en Nieuws.nl de dupe waren. In maart verspreidde NU.nl eveneens malware, maar dat gebeurde niet via advertenties: een kwaadwillende had weten door te dringen in het cms.
Update, 13:43: Volgens Security.nl gaat het om een banking-trojan die werd verspreid via een exploit voor een lek in Java, dat inmiddels zou zijn gepatcht. Gebruikers met een kwetsbare Java-versie lopen dus mogelijk gevaar.
Update, 14:53: In dit artikel was te lezen dat de malware op NRC.nl zou zijn geserveerd via het Belgische bedrijf Adhese. Dat bedrijf levert echter geen advertentieserver, maar software, die in dit geval werd gebruikt op NRC.nl. De software van Adhese serveerde in dit geval een verwijzing naar een extern javascript-bestand dat op zijn beurt weer verwees naar een malafide url, laat de cto van Adhese, Tim Sturtewagen, weten. De software van Adhese is zelf niet gehackt.
:strip_exif()/i/1152187467.jpg?f=fpa)
:strip_exif()/i/1207497283.gif?f=fpa)
/i/1277037256.png?f=fpa)
/i/1303807410.png?f=fpa)
:strip_exif()/i/1050432842.gif?f=fpa)
/i/1331731893.png?f=fpa)
:strip_exif()/i/1310133117.gif?f=fpa)
/i/1244190267.png?f=fpa)
:strip_exif()/i/1333529431.gif?f=fpa)
/i/1318419301.png?f=fpa)
:strip_exif()/i/1260528477.gif?f=fpa)
:strip_exif()/u/70496/glowmouse2.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/202793/genome_iStock-small.jpg?f=community){kind=small}
/u/175440/crop5b5f0d899a5e8_cropped.png?f=community){kind=small}
/u/94596/crop643fb12fd4e6d.png?f=community){kind=small}
:strip_icc():strip_exif()/u/149142/jfk2_60.jpg?f=community){kind=small}
/u/30977/crop654a08a5866a6_cropped.png?f=community){kind=small}
/u/32673/crop60a226f7c0ff5.png?f=community){kind=small}