Nu.nl serveerde urenlang malware - update

Nu.nl heeft woensdag urenlang malware aan bezoekers geserveerd, bevestigt Nu.nl na een melding van beveiligingsbedrijf Fox-IT. Dat bedrijf kwam de problemen op het spoor toen zijn klanten werden geïnfecteerd. Het zou gaan om banking-malware.

NU.nlFox-IT schrijft op zijn weblog dat meerdere klanten werden geïnfecteerd via malware die afkomstig was van Nu.nl. Het ging om malware die werd aangeboden via een advertentie. Volgens Fox-IT was waarschijnlijk de software die de advertenties toonde gehackt.

Nu.nl bevestigt dat de website woensdag 'korte tijd' malware heeft verspreid; dat zou zijn gebeurd via een 'aangesloten advertentienetwerk'. Onderzocht wordt nog hoe vaak en hoe lang de malafide advertentie is getoond. "Dat weten we nu nog niet", aldus woordvoerster Mariëlle Paul van Nu.nl-uitgever Sanoma. Wel weet Paul te melden dat enkel Windows-systemen het doelwit waren van de besmetting.

Het beveiligingsbedrijf zag woensdag tussen kwart voor 11 en half vier meerdere besmettingen via Nu.nl. Daarbij werd geprobeerd om via een exploit-kit de banking-malware Zeus te installeren. Die malware wordt gebruikt om logingegevens te onderscheppen en betalingen te manipuleren. Volgens Fox-IT werd de desbetreffende exploit op VirusTotal door 45 van de 47 virusscanners niet herkend.

Volgens Fox-IT werd de malware verspreid vanaf het ip-adres 195.3.147.191, gevestigd in Letland. Systeembeheerders kunnen kijken of via hun servers contact is geweest met dat ip-adres, om te zien of er besmettingen hebben plaatsgevonden. De command-and-control-servers van de aanvallers zijn gehost op de ip-adressen 67.211.197.91 en 91.223.88.144.

In 2012 serveerde Nu.nl ook al een trojan; destijds werd een server van Nu.nl zelf gehackt. Ook websites van concurrenten als NRC.nl en De Telegraaf zijn besmet geweest met malware. Het misbruiken van grote websites voor het serveren van malware is interessant voor aanvallers, omdat ze daarmee in één keer een grote groep potentiële slachtoffers bereiken. Advertentienetwerken worden hier met name vaak voor misbruikt.

Update, 17:15: Nu.nl heeft bevestigd dat malware is geserveerd. Het artikel is aangevuld met die informatie.

Door Joost Schellevis

Redacteur

Feedback • 06-06-2013 16:44 113

06-06-2013 • 16:44

113

Lees meer

Advertentienetwerk DoubleClick van Google serveerde malware
Advertentienetwerk DoubleClick van Google serveerde malware Nieuws van 19 september 2014
'NU.nl verspreidde malware via geïnfecteerd advertentienetwerk' - update 2
'NU.nl verspreidde malware via geïnfecteerd advertentienetwerk' - update 2 Nieuws van 1 juli 2014
Google introduceert VirusTotal Uploader voor OS X
Google introduceert VirusTotal Uploader voor OS X Nieuws van 27 mei 2014
De Telegraaf en The Guardian serveren malware via advertentienetwerk - update
De Telegraaf en The Guardian serveren malware via advertentienetwerk - update Nieuws van 26 mei 2014
Marktplaats en Wehkamp serveren bankingtrojans door besmet advertentienetwerk
Marktplaats en Wehkamp serveren bankingtrojans door besmet advertentienetwerk Nieuws van 18 maart 2014
Surinaams ministerie verspreidde malware via website
Surinaams ministerie verspreidde malware via website Nieuws van 19 december 2013
Telegraaf.nl verspreidde malware via banners - update
Telegraaf.nl verspreidde malware via banners - update Nieuws van 1 augustus 2013
Aanvallers kraken website SIDN - update 2
Aanvallers kraken website SIDN - update 2 Nieuws van 10 juli 2013
Opera-gebruikers zijn mogelijk besmet via valse update
Opera-gebruikers zijn mogelijk besmet via valse update Nieuws van 27 juni 2013
Microsofts EMET 4.0-toolkit moet Windows betere beveiliging bieden
Microsofts EMET 4.0-toolkit moet Windows betere beveiliging bieden Nieuws van 18 juni 2013
Huisartsen gedwongen tot gebruik uiterst onveilige Java-versie
Huisartsen gedwongen tot gebruik uiterst onveilige Java-versie Nieuws van 3 juni 2013
Cooler Master haalt Nederlandse website offline na hack - update
Cooler Master haalt Nederlandse website offline na hack - update Nieuws van 2 januari 2013
'Hacker kwam door verouderde cms-software Diginotar binnen'
'Hacker kwam door verouderde cms-software Diginotar binnen' Nieuws van 18 november 2012
Website NRC verspreidt malware - update 2
Website NRC verspreidt malware - update 2 Nieuws van 13 november 2012
Bankgegevens aangetroffen op nieuwe Dorifel-servers
Bankgegevens aangetroffen op nieuwe Dorifel-servers Nieuws van 14 augustus 2012
Website Nujij belandt op zwarte lijst Google door malware
Website Nujij belandt op zwarte lijst Google door malware Nieuws van 5 juli 2012
Honderdduizend bezoekers NU.nl wellicht besmet met trojan
Honderdduizend bezoekers NU.nl wellicht besmet met trojan Nieuws van 15 maart 2012
Meer producten en artikelen
Politiek en recht Netwerk en systeembeheer

Reacties (113)

-Moderatie-faq
113
105
75
12
1
7
Wijzig sortering
Willaaam 6 juni 2013 16:47
Even een stukje van Fox-IT citeren want er zijn geheid mensen die het te pakken hebben:
Wat kunt u doen?

Indien u op 5 juni nu.nl heeft bezocht is het raadzaam uw computer te controleren op de malware. De malware laat bestanden achter in de “Application Data” folder die worden opgestart bij het aanzetten van de computer. Controleer of er onbekende programma’s worden opgestart.

Indien u beschikt over proxy logs controleer dan of uw gebruikers naar 195.3.147.191 zijn geweest, dit is het IP-adres vanaf waar de malware is verspreid.

Besmette computers verbinden op 67.211.197.91 en 91.223.88.144 om commando’s op te halen.

These files are left on the sytem:
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp<random1>.bat
C:\Documents and Settings\Administrator\Application Data\<random2>\<random3>.cax
C:\Documents and Settings\Administrator\Application Data\<random4>\<random5>.exe

These programs are started at boot:
C:\Documents and Settings\Administrator\Application Data\<random4>\<random5>.exe
C:\WINDOWS\system32\cmd.exe /c "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp<random1>.bat"

En deze twee virusscanner zouden tenminste gewaarschuwd moeten hebben:
Kaspersky UDS:DangerousObject.Multi.Generic 20130604
Malwarebytes Trojan.Agent 20130604

[Reactie gewijzigd door Willaaam op 22 juli 2024 15:20]

David Mulder @Willaaam6 juni 2013 17:07
Is er iemand die weet welke directories je op windows 8 moet checken?

Dit is wat mij logisch leek:
C:\Users\Default\AppData\<random>\<random>
C:\Users\Default\AppData\Local\<random>\<random>
C:\Users\Default\AppData\Roaming\<random>\<random>
C:\Users\username\AppData\<random>\<random>
C:\Users\username\AppData\Local\<random>\<random>
C:\Users\username\AppData\Roaming\<random>\<random>
Maar kwam gelukkig geen van deze tegen :+ Leek me even handig om te delen indien iemand de application data folder zoekt. (default en AppData zijn hidden trouwens)
AugmentoR @David Mulder6 juni 2013 23:53
Mochten meer mensen zich afvragen wat te doen:
Via de blog van nu.nl wordt verwezen naar blog.foxit.nl welke weer verwijst naar http://malwareinfo.nl/han...-bij-een-malwareinfectie/ alwaar een link staat naar mbam-setup.exe (functionele evaluatieversie).
Alex3 @Willaaam6 juni 2013 21:28
Beetje onduidelijk bericht met namen als
C:\Documents and Settings\Administrator\Application Data\<random4>\<random5>.exe:

De map C:\Documents and Settings\Administrator is niet lees- of beschrijfbaar door andere gebruikers, of is de naam Administrator maar een voorbeeld?

Naar iets als <random4>\<random5>.exe is het moeilijk zoeken, daarmee lijkt alles verdacht.

En die programma's starten niet vanzelf als je de computer aanzet. Dan moet er een link naar zijn in de map Opstarten in het startmenu, of in het register in de map HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
of
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
Dus het is beter om daar te kijken of er iets verdachts is bijgekomen.
CMG @Alex37 juni 2013 10:26
Er zijn heel veel manier om meuk op te laten starten.

Zo zijn er programma's die standaard alles uit een mapje executen en er is malware die op die programma's piggybacked, dus als er niets op die twee plekken staat, betekend niet dat je nergens last van hebt; her zijn wel honderd manieren om software te executen on boot.
Wilke @Willaaam6 juni 2013 17:24
Meer informatie zou welkom zijn. Welke browsers of plugins zijn hier gebruikt/kwetsbaar voor?
CMG @Willaaam7 juni 2013 10:25
Nog even over die detectie:

De engines die draaien op virus totaal komen niet altijd overeen met de 'retail' versies. Vaak leveren AV companies aangepaste engines/definities en flaggen ze eerder dan normaal.

Een virus totaal hit hoeft dus niet te betekenen dat dit pakket, als je het thuis zou hebben, deze ook herkent.
dirkpostma 6 juni 2013 23:15
Kijken of nu.nl op deze manier haar verantwoordelijk wel neemt, ik heb zojuist dit gepost in enkele nieuwsberichten op nu.nl:

Voor mensen die op 5 juni nu.nl hebben gezocht met een windows computer: u bent mogelijk geinfecteerd met een virus.

Dit heeft niets te maken met dit nieuwsbericht, maar aangezien nu.nl het zelf niet duidelijk communiceert moet het zo maar...

Zie o.a. hier: http://tweakers.net/nieuws/89533/nu-punt-nl-serveerde-urenlang-malware.html

En hier op nu.nl zelf (maar je moet goed, TE GOED, zoeken om het te vinden)
http://www.nu.nl/blog/349...via-advertentie-nunl.html

Note aan de redactie: ZET DIT EEN AANTAL DAGEN OPVALLEND OP JULLIE FRONTPAGE! NEEM VERANTWOORDELIJKHEID! Dan houdt deze spam ook op.

Lieve mensen, help er aan mee dat nu.nl zelf inziet dat ze verantwoodelijkheid moet nemen. Zeg het voort in reacties van nu.nl. Kopieer dit bericht en zet in een paar keer als reactie in andere threads. Dan bereikt het hoop ik de nodige mensen. Wellicht wordt het weggehaald, wellicht automatisch, dus maak wat variaties in de tekst. Dank u allen!

Vinden jullie dit oké? Of toch maar niet doen?

[Reactie gewijzigd door dirkpostma op 22 juli 2024 15:20]

DutchReaper 6 juni 2013 16:54
Jammer dat er niet bijstaat of het gebruik maakt van een of andere java of Flash exploid. Lijkt me sterk als deze malware op iedere bezoekers geïnstalleerd zou worden.
GlowMouse @DutchReaper6 juni 2013 17:04
In de blog van Fox-it staat dat “Sweet Orange Exploit Kit” gebruikt wordt. Die gebruikt:
Java exploits, PDF exploits, Internet Explorer exploits, Firefox exploits
Die huisartsen die laatst in het nieuws waren vanwege een verouderde Java-versie waren dus de klos geweest.
HMS @DutchReaper6 juni 2013 17:06
Van de Fox-IT blog:
This then GETs from its own page to get payload information using a java exploit from the main landing page:

"GET hxxp://extraprimarilyfurious .biz/sites/directadmin/demos/yclZU HTTP/1.1" - - "-" "Mozilla/4.0 (Windows XP 5.1) Java/1.5.0_18"

After a successful java exploit the binary is obtained:
Er was dus een Java exploit nodig om het te starten. Ben blij dat in Chrome de Java plugin standaard uit staat.
Moartn @DutchReaper6 juni 2013 17:03
Staat in het orginele artikel wel. Het is een Java exploit. Voor heel veel mensen/browsers is er dus niets aan de hand.
Anoniem: 431233 6 juni 2013 16:50
Welke browser is kwetsbaar? En in combinatie met welk OS?

Ik kom regelmatig op nu.nl, maar alleen met de nieuwste versie van google chrome onder windows, mac en linux.

Heb al even gezocht:
Zeus targets Microsoft Windows machines. It does not work on Mac OS X, or Linux.
Even verder gezocht: het gaat om de application data folder van Microsoft Internet Explorer. Alleen bezoekers met Internet Explorer onder Windows zijn dus kwetsbaar geweest.

[Reactie gewijzigd door Anoniem: 431233 op 22 juli 2024 15:20]

Willaaam @Anoniem: 4312336 juni 2013 17:24
Heeft niets te maken met specifiek internet explorer. De java exploit is er overigens maar eentje, de Sweet Orange Exploit Kit maakt standaard gebruik van meerdere attack vectors.

http://www.symantec.com/s...res/detail.jsp?asid=26033

[edit: glowmouse postte dit al eerder]

[Reactie gewijzigd door Willaaam op 22 juli 2024 15:20]

Anoniem: 505274 @Anoniem: 4312336 juni 2013 16:53
Elke combinatie browser - OS die ads weergeeft.

allemaal dus.
Moartn @Anoniem: 5052746 juni 2013 17:02
In de post van Fox-IT is te zien dat hier gebruik gemaakt wordt van een Java exploit. Je moet dus een java-plugin in je browser hebben draaien, anders gebeurt er niets.
Dylan93 @Moartn6 juni 2013 18:34
In de post van Fox-IT is te zien dat hier gebruik gemaakt wordt van een Java exploit. Je moet dus een java-plugin in je browser hebben draaien, anders gebeurt er niets.
Het zou ook eens niet :) Verschrikkelijk software vind ik het, naast dat Oracle het zelf al bundelt met de crapware onzin van Ask toolbar e.d. is het gewoon een verschrikkelijk lek programma. Jammer dat het toch geforceerd gebruikt word in bedrijven.
Anoniem: 431233 @Moartn7 juni 2013 10:41
Chrome vraagt explictiet of je de java plugin wilt uitvoeren. *pfew* leve chrome ;) En als een site daar om vraagt, gaan bij mij wel alarmbellen rinkelen.

Ik kan dus niet besmet zijn, ook al bezocht ik nu.nl met een browser met een java plug onder windows.

Al met al is het leed te overzien. Je moet dus:
1) een windows computer gebruikt hebben
2) in die tijd nu.nl hebben bezocht
3) de pech hebben gehad zo'n advertentie voorgeschoteld te hebben gekregen
4) een java plugin geinstalleerd hebben
5) de java plugin hebben uitgevoerd. Chrome vraagt hier expliciet om, Firefox vast ook. Geen idee of IE dat ook doet.
6) geen adblock hebben

[Reactie gewijzigd door Anoniem: 431233 op 22 juli 2024 15:20]

Ogzhn 6 juni 2013 16:47
Ben ik de enige of zijn er meerdere mensen vaak geïnfecteerd door malware afkomstig van NU.nl? Ik meen ook te herinneren dat zo meerdere keren negatief op het nieuws zijn gekomen op deze manier, hoe zou dat kunnen komen?
kjast @Ogzhn6 juni 2013 23:47
Kwestie van je browser sandboxed draaien, iet wat in mijn ogen standaard moet zijn..
Anoniem: 80487 @kjast7 juni 2013 16:35
Wat standaard moet zijn is dat websites als NUnl, websites met algemeen aanzien, gewoon zorgen dat ze veilig zijn. Dat gedoe over dat je het had kunnen voorkomen door software x of programma y te draaien vind ik echt geleuter in de marge, en vooral pas in retrospect vanzelfsprekend. Nu.nl had het kunnen voorkomen door hun advertorials niet te outsourcen en te weten hoe e.e.a. dicht te hameren.
Orian 6 juni 2013 18:52
Is half vier exact half vier? Ik ben namelijk om 15.38 op nu.nl geweest...

Is daarnaast een malwarebytes scan genoeg? Hij zou het wel moeten herkennen bij het bezoeken van de site zag ik, maar ziet hij het ook als het er al op staat (omdat ik hem nu pas installeer)?
Hakulaku @Orian6 juni 2013 20:45
Volgens beveiligingsbedrijf Fox-IT is de infectie woensdag tussen 10.42 en 15.34 verspreid.
Bron: http://www.nu.nl/blog/349...via-advertentie-nunl.html Let op, is NU.nl (op eigen risico ;))

Het blog bericht is wel in een hoekje verstopt.

[Reactie gewijzigd door Hakulaku op 22 juli 2024 15:20]

Orian @Hakulaku6 juni 2013 22:28
Dank je! Ik wacht nog even met nu.nl bezoeken, maar ik lijk in ieder geval veilig te zitten :).
hav0c 6 juni 2013 16:47
Ik snap dat websites advertentie inkomsten nodig hebben maar om dit doort dingen te voorkomen draai ik toch een adblocker.
mschol @hav0c6 juni 2013 18:40
Waar ik niet bij kan is dat men nog steeds dingen als iframes in hun site zetten en daarin 'obscure' javascript en flash van een adverteerder inladen.. (uberhaupt javascript van een adverteerder vertrouwen..)
Niosus @mschol6 juni 2013 18:58
Dat doet "men" niet, dat doen de advertentiebureas. Die geven je een javascript tag waarvan je weet welk formaat de ad gaat innemen. Die zet je op de plaats waar de ad moet komen en meer heb je er niet over te zeggen. Die tag gaat dan een script downloaden dat een iframe maakt met al de rommel er in.

Dit doen ze allemaal zo. Zelfs Google werkt zo. Tenzij dat je zelf alle advertenties wilt regelen (wat enkel heel grote sites kunnen doen) heb je echt geen keuze. Ik weet nu niet of Nu.nl dit zelf doet of niet, maar veel kleinere sites kunnen er echt niets aan doen als er malware via hun ads mee komt. Je kan een bekende ad publisher nemen zodat de kans dat er iets langs glipt kleiner is maar dat is alles.
CMD-Snake @hav0c6 juni 2013 16:51
Ligt eraan. Je hebt adblockers die de hele code van de ad eruit gooien, die houden het in theorie tegen. Je hebt ook adblockers die slechts de reclame onzichtbaar maken. Dan download je de reclame dus nog wel en kan je potentieel het virus hebben.

Toch sta ik er van te kijken. Je zou denken dat NU.nl geleerd heeft van de vorige keer. Dat was niet mis, duizenden besmettingen in een paar uur. Het geluk was toen nog dat het virus veelal niet goed werkte. NU.nl mag wel eens gaan praten of security, ook het hun reclame leveranciers.
Anoniem: 118226 @CMD-Snake6 juni 2013 18:03
Ik sta er meer van te kijken dat het nog steeds mogelijk is om via een browser software op de locale windows computer te installeren, zonder tussen komst van de gebruiker en die ook nog automatisch opstart.
Just3 @Anoniem: 1182266 juni 2013 23:52
Ik ook, toch een raar idee, die exploit-kits. Ook erg jammer dat maar 2 virusscanners op virustotal dit exemplaar/deze variant kennen. Is het zo makkelijk om een variant op een bekend virus te maken die niet wordt herkent door veel virusscanners?
klonic @CMD-Snake6 juni 2013 21:15
Dit is toch al de 3e of 4e keer op nu.nl?
mrfreeze12345 @dcl!6 juni 2013 23:23
Verbaasd? Iets met een pot en een ketel ;)
Arfman @mrfreeze123457 juni 2013 08:15
Enige verschil is dat hij geen eindredacteur is bij de grootste nieuwssite van Nederland ;)
Anoniem: 404476 6 juni 2013 16:47
En natuurlijk staat hierover niks op nu.nl :+
mathelicious @Anoniem: 4044766 juni 2013 17:31
In het redactieblog staat nu een bericht. Ik denk dat heel veel mensen daar ook kijken
Anoniem: 404476 @mathelicious6 juni 2013 17:56
Toch zouden ze het wel even flink over de voorpagina mogen gooien, ze verzuimen nu een heleboel mensen te waarschuwen voor gevaarlijke malware..
Anoniem: 502340 6 juni 2013 21:46
Klein vraagje van een noob die het niet allemaal begrijpt mbt JAVA. In mijn FireFox heb ik "javascript" enabled staan. Ben ik dan ook potentieel de klos?

En wat als Mbam al op je PC gesintalleerd stond voordat de infectie kwam, kan Mbam dan compromised zijn (heeft dus geen zin om te scannen tenzij je Mbam opnieuw installeert)?
anzaya @Anoniem: 5023406 juni 2013 22:04
Gewoon je MBAM die je al geinstalleerd hebt updaten en een snelle scan uitvoeren..
Xieoxer @Anoniem: 5023406 juni 2013 22:07
Java is totaal iets andere dan JavaScript. JavaScript word gebruikt voor effecten voor een website. Java zie je bijna niet op websites. Een voorbeeld website die het gebruikt is Intel. Via Java kun je een programma oproepen op je computer om bijv je drivers te controleren. Dit kan JavaScript niet.
Anoniem: 14842 6 juni 2013 16:56
Hmm, toch blij dat wij twee verschillende antivirus merken gebruiken. Eentje op de clients en eentje op de servers. Eén van de twee pakte hem wel...

Erg vervelend dit.
Anoniem: 505274 @Anoniem: 148426 juni 2013 16:59
"Volgens Fox-IT werd de desbetreffende exploit op VirusTotal door 45 van de 47 virusscanners niet herkend."
Kans dat je een goeie hebt is klein :o
Anoniem: 14842 @Anoniem: 5052746 juni 2013 18:00
Nee hoor: die is 100%.
Kaspersky detecteerde hem wel namelijk, kijk maar in het lijstje ;)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq