Telegraaf.nl verspreidde malware via banners - update

De website van De Telegraaf heeft donderdag gedurende enkele uren malware verspreid. De kwaadaardige software werd geserveerd via een besmette banner op het advertentienetwerk van de nieuwssite. Het is niet voor het eerst dat op deze manier malware wordt verspreid.

Een zegsman van TMG, het moederbedrijf van De Telegraaf, kon donderdagochtend desgevraagd niet bevestigen dat er daadwerkelijk malware werd verspreid via het advertentienetwerk van de krant. Ronald Prins, directeur van onderzoeksbureau Fox-IT, zegt echter vernomen te hebben dat er al wel actie is ondernomen. Aan het eind van de ochtend meldde een collega van Prins dat de website van de Telegraaf niet langer naar de malware doorlinkte, maar dat het advertentienetwerk de bewuste malware nog wel via andere sites verspreidt.

Het is niet de eerste keer dat kwaadwillenden er in slagen via gemanipuleerde banners kwaadaardige code via de website van De Telegraaf te verspreiden. Volgens de woordvoerder van TMG is dit de afgelopen maanden al twee keer eerder gebeurd. Ook in september van vorig jaar werd de nieuwssite slachtoffer van besmette banners. Eerder al overkwam dit onder meer Nu.nl, Speedtest.net en de website van NRC.

Het is niet bekend om welke malware het gaat en hoe lang de kwaadaardige code al verspreid wordt. De malware toonde besmette bezoekers van de site een scherm waarop de indruk werd gewekt dat de politie de pc had vergrendeld wegens strafbare feiten en dat deze voor honderd euro ontgrendeld kon worden. Volgens TMG werkte de malware overigens niet bij Chrome-gebruikers. Evenmin is bekend hoeveel mensen de bewuste besmette banner hebben gezien. De bewuste banner is vermoedelijk via het automated trading-netwerk van de nieuwssite getoond. Bij automatic trading wordt advertentieruimte via een geautomatiseerd veilingproces verkocht.

Update, 11:42: De website van De Telegraaf linkt volgens Fox-IT niet langer door naar de malware. Het artikel is hierop aangepast. TMG heeft verder laten weten dat Chrome-gebruikers niet zijn getroffen omdat Google de malware al eerder had detecteerd en geblokkeerd.

Door Wilbert de Vries

Feedback • 01-08-2013 10:38 115

01-08-2013 • 10:38

115

Lees meer

'NU.nl verspreidde malware via geïnfecteerd advertentienetwerk' - update 2
'NU.nl verspreidde malware via geïnfecteerd advertentienetwerk' - update 2 Nieuws van 1 juli 2014
De Telegraaf en The Guardian serveren malware via advertentienetwerk - update
De Telegraaf en The Guardian serveren malware via advertentienetwerk - update Nieuws van 26 mei 2014
Google en Facebook beloven consumenten te waarschuwen tegen misleidende reclame
Google en Facebook beloven consumenten te waarschuwen tegen misleidende reclame Nieuws van 8 mei 2014
Marktplaats en Wehkamp serveren bankingtrojans door besmet advertentienetwerk
Marktplaats en Wehkamp serveren bankingtrojans door besmet advertentienetwerk Nieuws van 18 maart 2014
Surinaams ministerie verspreidde malware via website
Surinaams ministerie verspreidde malware via website Nieuws van 19 december 2013
Nu.nl serveerde urenlang malware - update
Nu.nl serveerde urenlang malware - update Nieuws van 6 juni 2013
'Speedtest.net verspreidde malware'
'Speedtest.net verspreidde malware' Nieuws van 7 februari 2013
Website NRC verspreidt malware - update 2
Website NRC verspreidt malware - update 2 Nieuws van 13 november 2012
Telegraaf.nl serveert bezoekers malware - update
Telegraaf.nl serveert bezoekers malware - update Nieuws van 6 september 2012
Meer producten en artikelen
Websites en community's Malware

Reacties (115)

-Moderatie-faq
115
110
76
16
0
1
Wijzig sortering
rejer 1 augustus 2013 11:12
Dit is weer een van de redenen dat ik een addblock gebruik

Als je Ghostery gebruikt zie je ook dat ze bergen met Add rotzooi hebben.

http://www.nu.nl/internet...ijker-dan-pornosites.html

Dat zegt al genoeg. Alleen op vertrouwde sites zet ik mijn blockers nog maar uit.
Aardwolf @rejer1 augustus 2013 11:30
Hehehe wat een goed excuus weer... :+ >:)

Nee maar zonder gein. Sinds ik blockers gebruik heb ik eigenlijk vrij weinig gekke virussen/malware/trojans binnen gehaald oid. Af en toe eens een zogenaamde trojan via usenet, wat dan vaak gewoon de keygen bestanden zijn. Ook sites bevallen me veel beter, weinig prikkels en alleen content waarvoor ik de site bezoek. Heerlijk! :)
Consequator @rejer1 augustus 2013 11:43
Addblock, ghostery en no-script.

Adds zijn voor mij al jaren een zeldzame verschijning.
ik heb het niet vanwege de advertenties, maar idd ook vanwege alle exploits en mallware troep die op het internet zit.

Advertenties zelf zijn zo overheen te kijken, alhoewel ik soms wel schrik van de hoeveelheid en hoe ze soms de website lay-out vernielen bij de enkele keren dat ik een andere browser gebruik :X
Verwijderd @rejer1 augustus 2013 12:09
Alleen op vertrouwde sites zet ik mijn blockers nog maar uit.
Vertrouwde sites.... Zoals speedtest.net, nu.nl, telegraaf.nl?
Dat is de pest met die advertentienetwerken, er hoeft er maar bij eentje ingebroken te worden, en alle sites die er zaken mee doen hebben een probleem.

Is er al bekend wat het voor malware was?
Señor Sjon 1 augustus 2013 16:42
Goed, ik heb op andere plekken gevonden waar het zou kunnen zitten met dank aan WebWereld
Schijnt globaal aan de hand te zijn, niet alleen NL.

Het schijnen twee java exploits te zijn geweest:
1) http://www.microsoft.com/...it%3AJava%2FCVE-2012-1723
Kwetsbaar:
JDK en JRE 7 Update 4 en eerdere Java SE
JDK en JRE 6 Update 32 en eerdere Java SE
Update van JRE 5.0 en JDK 35 en eerdere Java SE
SDK en JRE 1.4.2_37 en eerdere Java SE

Daarna is een andere geserveerd:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2423
Unspecified vulnerability in the Java Runtime Environment (JRE) component in Oracle Java SE 7 Update 17 and earlier, and OpenJDK 7, allows remote attackers to affect integrity via unknown vectors related to HotSpot. NOTE: the previous information is from the April 2013 CPU. Oracle has not commented on claims from the original researcher that this vulnerability allows remote attackers to bypass permission checks by the MethodHandles method and modify arbitrary public final fields using reflection and type confusion, as demonstrated using integer and double fields to disable the security manager.
Armin @Señor Sjon1 augustus 2013 17:38
Waarom mensen nog steeds de Java plugin aan hebben staan ...

Nou ja, ik weet wel waarom. Omdat Sun dat standaard aanzet bij een installatie van de SDK. |:(

Geen flash plugin, geen acrobat reader plugin en geen java plugin en 90+% van alle spyware is buiten de deur zelfs als je een antieke browser gebruikt zonder updates, zo blijkt keer op keer uit de besmettingsstatistieken. (Niet dat ik aanraadt een antieke browser zonder updates te gebruiken :) )
Plopeye @Armin1 augustus 2013 22:39
Omdat dit gek genoeg nodig is om met paslezer in te kunnen loggen bij zakelijke rabo bank omgeving. De pas is nodig vanwege grote bedragen maar de software vereist wel een oude lekke java versie...
Verwijderd 1 augustus 2013 13:20
En dit is waarom Douglas Croackford ADsafe ontwikkeld heeft; een subset van Javascript die geen kwaadaardige code kan uitvoeren. ADsafe kan als framework geladen worden om een site heen, zodat dergelijke banners gefilterd worden op dergelijke kwaadaardige content.

Het bevreemd me trouwens dat wel de Telegraaf genoemd wordt, maar niet het (malafiede) advertentienetwerk waar zij hun inkomsten uit krijgen. Dit netwerk is m.i. veel meer verantwoordelijk dan de Telegraaf, gezien zij expliciet deze malware richting klanten pushen.
Durandal @Verwijderd1 augustus 2013 16:53
Telegraaf is eindverantwoordelijk want hun site toont jou de malware en zij hebben er voor gekozen met die 3rd party in zee te gaan. Daar verdienen ze ook nog aan.
Met die 3rd party heb jij als lezer niets te maken. Dat mag de Telegraaf oplossen.
janvanduschoten Moderator Mobile 1 augustus 2013 10:43
Dat ze bereikbaar zijn zegt me niet zoveel, als ik het artikel zo lees is een bezoek aan de site waar de banner op staat al voldoende voor besmetting.
Evenmin is bekend hoeveel mensen de bewuste besmette banner hebben gezien.
Ik zou de site even niet bezoeken, gewoon wachten totdat het bericht er is dat het is verholpen.
onlinegangster 1 augustus 2013 12:36
LIjkt me dan effectiever om het betreffende advertentienetwerk te blokkeren. Je zou immers nog steeds door 1 van de waarschijnlijk 1000-en andere sites die gebruik maken van het netwerk geinfecteerd kunnen worden.

Het is denk ik zaak dat het advertentienetwerk zorgt voor een veiligere integratiemogelijkheid naar de sites die hun advertenties afnemen toe. Tevens zou het advertentienetwerk zelf natuurlijk ook actiever kunnen controleren wat voor content zij toestaan op hun netwerk.

Als ik de Telegraaf was zou ik in ieder geval naar een andere advertentieprovider op zoek gaan.
Plopeye @onlinegangster1 augustus 2013 22:41
welk ad netwerk was het, dan kan ik een lijst van ip's en dns names maken om in de firewall dicht te zetten...
SeenD 1 augustus 2013 10:40
Toch altijd lastig hoe dit soort dingen door de advertentie netwerken heen komen.

Zou een plugin als adblocker zoiets tegengaan, of worden de ads wel geladen maar via css en javascript verwijderd? Of worden ze helemaal niet geladen?
Joolee @SeenD1 augustus 2013 10:54
De beste manier om je hiertegen te beschermen is het uitschakelen van onnodige browserplugins en het up-to-date houden van je software. Java kun je sowieso de browserplugin van uitschakelen tegenwoordig. Adobe reader werkt ook prima als je de browser plugin uitschakelt, beter nog, installeer een alternatief zoals Sumatra PDF. Verder is het in bijv. Firefox mogelijk om browserplugins (zoals Flash, welke je voorlopig nog wel regelmatig nodig hebt) pas te laden op het moment dat je op het element klikt. (Dat scheelt ook een hele lading knipperende banners en je browser wordt een stuk sneller) Voor andere browsers zijn er meestal ook wel flashblockers te vinden.
mschol @Joolee1 augustus 2013 11:02
het uitschakelen van plugins is slechts symptoom bestrijding, er moeten drastische wijzigingen komen aan hoe advertenties worden weergegeven.
Javascript en iframes voor advertenties, vroeger was dat al not done op sites i.v.m. virussen e.d maar omdat het advertenties zijn kan het nu wel door de beugel?
thegve @mschol1 augustus 2013 11:12
Zolang die iframes door de maker van de site worden gemaakt, zie ik niet hoe dit gevaarlijk is voor virussen. Door de site te bezoeken stel je een zeker 'vertrouwen' in de maker ervan, en als deze maker een iframe gaat gebruiken, veranderd daar feitelijk niets aan.
Zoop @thegve1 augustus 2013 11:26
Hoeveel vertrouwen wekt het, als de iframe naar een of ander obscure url linked, met een hele waslijst aan subdomeinen en subdirectories erin? De pagina's waar die iframes naartoe linken, valt over het algemeen niks nuttigs uit te halen (en zijn meestal eerder van een of andere advertentie provider, dan de adverteerder).

Wanneer je bezig bent met webdevelopment, dan is alles wat enigzins cross-domain is simpelweg not done (of vergt veel overweging, tussen vertrouwde omgevingen zou het nog kunnen). Maar met advertenties is het juist common practice. De enige garantie die je hebt, is het woord van de hoster. In principe zet dit per definitie een deur open naar allerlei viezigheid. Geen probleem zolang dit netjes in de gaten gehouden wordt. Gigantisch probleem als er ergens een infectie opdruikt (zoals je hier ook ziet, en talloze andere voorbeelden).
Zyppora @SeenD1 augustus 2013 12:49
Met Adblock worden ze volgens mij helemaal niet geladen, maar als je echter 100% zeker wil zijn zet je de domain names van de ad providers in je hosts file. Dan weet je zeker dat die er niet door komen.
Mizgala28 1 augustus 2013 11:32
Dan vraag ik mij af of je die malware ook kunt krijgen als je ad-block plus gebruikt, mijn ma leest af en toe op hun site via FF met ad-block, want iedere keer die reclames die de hele PC vertragen, bah.

Zou Tweakers dan ook malware serveren? Want dat staa niet in het artiekel en jullie zijn toch ook onderdeel van de Telegraaf groep??
The Zep Man
@Mizgala281 augustus 2013 11:36
Dan vraag ik mij af of je die malware ook kunt krijgen als je ad-block plus gebruikt, mijn ma leest af en toe op hun site via FF met ad-block, want iedere keer die reclames die de hele PC vertragen, bah.
Adblock blokkeert (ook) advertenties van derden. In de praktijk houdt dit in dat het alle soorten content blokkeert waarvan de bron de servers van advertentiebedrijven zijn. Hierdoor wordt malware net als advertenties geblokkeerd wanneer dit via een advertentiebedrijf wordt aangeboden.

Dit is dan ook een excuus voor mensen die advertentieblokkeerders gebruiken: het is niet alleen voor het gebruiksgemak, maar ook voor de veiligheid verstandig om advertenties te blokkeren. Zolang websites niet op hun verantwoording worden gewezen voor malware die ze serveren via de sites van derden, zal er ook niets verbeteren aan de situatie.
Zou Tweakers dan ook malware serveren? Want dat staa niet in het artiekel en jullie zijn toch ook onderdeel van de Telegraaf groep??
Tweakers.net was ooit onderdeel van VNU Media en is nu onderdeel van De Persgroep (staat onder elke pagina) en niet de Telegraaf Media Groep. ;) Een veel belangrijkere vraag is of beide sites/overkoepelende organisaties gebruik maken van dezelfde advertentienetwerken. Dit lijkt nu niet het geval.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 16:47]

mphilipp @The Zep Man1 augustus 2013 12:06
Een excuus voor mensen die adblockers gebruiken inderdaad. Buiten dat reclame rete-irritant is natuurlijk.

Een collega liet me een keer iets opzoeken op Telegraaf.nl en dacht dat het een andere site was. Zó anders ziet tg eruit zonder reclame. Dat zegt genoeg denk ik zo...
Reepje @Mizgala281 augustus 2013 11:50
Zou Tweakers dan ook malware serveren? Want dat staa niet in het artiekel en jullie zijn toch ook onderdeel van de Telegraaf groep??
Nee juist niet, de Persgroep is oa Volkskrant, AD, Tweakers.
De Telegraaf is van de Telegraaf media groep (TMG)
kwibus 1 augustus 2013 10:45
Apart om te zien dat zoveel grote bedrijven het (blijkbaar) niet op orde kunnen krijgen om hackers & spam te weren op hun websites. Het is werkelijk om de haverklap raak! Ik merk het ook op de websites die ik zelf maak en beheer: het gebeurt momenteel steeds vaker. In mijn geval heeft het voornamelijk te maken met het feit dat ik gemakshalve nog een oudere versie van het CMS gebruik dat ondertussen lek geraakt is. Het lijkt er echter op dat de engines achter Telegraaf.nl, Nu.nl e.a. dit probleem ook op grote schaal kennen. Of gebruiken zij stiekempies enkele third party tools..?
NoUseWhatsoever @kwibus1 augustus 2013 11:00
Of gebruiken zij stiekempies enkele third party tools..?
Die gebruiken ze zeker en niet stiekempjes. Ze gebruiken een automatic trading tool waardoor advertentieruimte altijd gevuld wordt. Dit nemen zij waarschijnlijk af van een dienstverlener. Het gaat dus niet zozeer over de 'engines' achter de websites maar meer de veiligheid van het trading network achter de advertenties.
Meulugar @kwibus1 augustus 2013 11:00
Dit staat hier los van. de fout ligt hier niet bij de Telegraaf (nouja indirect wel natuurlijk) Maar bij de advertentieprovider. De site is niet gehackt, maar er is een kwaadaardige AD getoond. Hiervoor gebruiken zij gewoon een plugin. Er is dus niets gehackt bij de telegraaf
Player1S @Meulugar1 augustus 2013 11:13
"telegraaf"...... "AD"

toeval of pun intended?? ;)
Meulugar @Player1S1 augustus 2013 11:21
OT:
Toeval, maar toen ik het terug las zeker ook pun intended :+
XxRenéxX 1 augustus 2013 10:42
Beetje een stomme vraag misschien, maar hoe werkt dat dan? Moet je eerst op de banner klikken of ben je al de sjaak als je de banner voorgeschoteld krijgt?
ponsjuh @XxRenéxX1 augustus 2013 10:48
van een ibm site

Drive-by downloads

When this method is used, the visitor does not need to perform any action on a website other than simply visit. Malware can be hidden inside invisible elements on the site, such as iframes or unobfuscated JavaScript code; it can even be embedded in multimedia files, such as images, videos, or Adobe Flash animations. When the page loads, the malware infects the visitor's computer using vulnerabilities in the browser or plug-ins.

http://www.ibm.com/developerworks/library/wa-loadedpages/
Reepje 1 augustus 2013 10:50
Als ik het goed begrijp, is er een geinfecteerde banner geweest. Dat betekend dus dat de malware alleen op je computer kan komen als je op die banner klikt. Deze vorm van malware komt vaker voor.

Ze gaan natuurlijk de web krant voor zoiets niet van het net halen.

Maar er wordt wel duidelijk hoe makkelijk het is om malware binnen te krijgen. Websites staan zo vol met reklame, dat het zelfs mogelijk is dat je perongeluk op een advertentie klikt. Als dat dan een malware advertentie is, ben je de sjaak.
Verwijderd @Reepje1 augustus 2013 10:59
Als ik het goed begrijp, is er een geinfecteerde banner geweest. Dat betekend dus dat de malware alleen op je computer kan komen als je op die banner klikt. Deze vorm van malware komt vaker voor.
Dat klikken hoeft niet altijd. Het kan soms zijn dat alleen het tonen van de banner al een besmetting oplevert.

Voor zover ik weer zijn er nu geen openstaande browserbugs met een dergelijk issue maar een browser die niet up to date is gepacht is daarmee wel te pakken.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq