Nederlands beveiligingsbedrijf: Yahoo serveerde malware - update

Via advertenties binnen de webmaildienst van Yahoo is vrijdag malware verspreid, zo ontdekten medewerkers van de Nederlandse beveiligingsbedrijven Fox-IT en Surfright. Banners van het advertentienetwerk van Yahoo verwezen gebruikers door naar een exploitkit.

Fox-IT ontdekte malware op het domein ads.yahoo.com waardoor gebruikers van Yahoos webmaildienst kwaadaardige software voorgeschoteld kregen, zo meldt Ronald Prins, mededirecteur van het beveiligingsbedrijf. Hij beloofde dat zijn bedrijf later met meer details zou komen, maar Mark Loman van Surfright bracht kort daarna al meer gegevens over de malware naar buiten.

Het zou gaan om een onderdeel van de Magnitude-exploitkit, die volgens Security beveiligingslekken in Windows, Internet Explorer en Java misbruikt. Details over de kit en een van de gebruikte malwarebestanden staan inmiddels op Virustotal. De meeste antivirussoftware herkent de malware inmiddels.

Update, zaterdag, 10.00: Fox-IT heeft een artikel online gezet met meer informatie over de malware-aanval.

Ads yahoo

IT-banen

Reacties (39)

damaster 3 januari 2014 16:56

Ter info, van het NCSC

Het gaat om de volgende IP-adressen:

192.133.137.100
192.133.137.59
193.169.245.78

De volgende bestandsnamen van dit viraal bestand zijn opgedoken:

515.exe
Befe.exe
output.19009945.txt
Befe
875ki6.com
518.tmp
19009945

https://www.virustotal.com/nl/file/C6148B3A52CEFC754A9B1BE6573BECE14034117DA300F9F66803B4A8FC588B8C/analysis/

Verwijderd 3 januari 2014 17:43

Fox-IT heeft vandaag op zijn blog bekend gemaakt welke malware na infectie wordt aangetroffen:

ZeuS
Andromeda
Dorkbot/Ngrbot
Advertisement clicking malware
Tinba/Zusy
Necurs

Armin

Netwerk en systeembeheer

@Verwijderd • 3 januari 2014 19:10

Tot nu toe nog niet gemeld, maar belangrijk:

"This exploit kit exploits vulnerabilities in Java and installs a host of different malware including"

(Van Fox-IT's eigen blog.

Ofwel - indien inderdaad correct - heb je geen Java op je PC (of op zijn minst de plugin uitgezet) ben je dus veilig voor deze besmetting, ook al zou je naar die pagina gaan, adds niet blokkeren en een virusscanner hebben die de malware nog niet herkent.

De overweldigende meerderheid van alle malware via het web wordt nog steeds via Adobe Reader, Adobe Flash en Java plugins geserveerd. Ik raadt iedereen dus altijd uit die plugins uit te zetten wanneer mogelijk.

Aanvullend is 'Enhanced protected Mode' bij Internet explorer (vanaf IE10 - standaard aan in touch mode, standaard uit in desktop mode) ook al afdoende om dit soort zooi buiten de deur te houden. Ik neem aan dat Chrome etc ook wel soortgelijke extra beveiliging opties hebben.

Al met al is wat mij betreft het grootste nieuws dus voroal dat deze criminelen kennelijk bij Yahoo binnen konden komen, en er dus iets mis gegaan is bij de controle van Yahoo. Als je dat soort bedrijven al niet kunt vertrouwen ...

RoestVrijStaal @Armin • 3 januari 2014 20:06

Sinds versie 24 vraagt Firefox per (sub)domein of je een plugin-object wilt toestaan.
Dat is nog steeds risky als je websites gebruikt waar de inhoud ervan van andere sites komt (simpel voorbeeld: Timelines bij Facebook, Tumblr).

Gelukkig biedt de addon "Click to Play per-element" een oplossing

R4gnax @RoestVrijStaal • 4 januari 2014 01:17

Het gedrag van click-to-play per element was vóór Firefox 24 de default, maar aan de hand van een draak van een user study kwam Mozilla tot de conclusie dat op die manier plugins blokkeren 'te moeilijk' was voor de meeste mensen.

Soms echt geen idee waar ze bij Mozilla mee bezig zijn...

(Even verduidelijkt n.a.v. onderstaande reactie.)

[Reactie gewijzigd door R4gnax op 23 juli 2024 02:44]

RoestVrijStaal @R4gnax • 4 januari 2014 15:43

Ik neem aan dat je 'de versies vóór versie 24' bedoelt met 'voor Firefox 24'. Ik moest even een paar keer lezen voordat ik uit de gedachtegang kwam dat je een nummeringsfout maakte.

Dit is even ter verduidelijking voor andere tweakers die meelezen

offtopic:
Volledig mee eens met je laatste zin.
Nadat Chrome opkwam is Mozilla echt de weg kwijtgeraakt.
Ze proberen allerlei dingen om weer populair te worden, maar dat gaat ten koste van functionaliteit en (de tevredenheid van) de huidige Firefox gebruikers.

Brahiewahiewa @Armin • 3 januari 2014 23:43

Al met al is wat mij betreft het grootste nieuws dus voroal dat deze criminelen kennelijk bij Yahoo binnen konden komen, en er dus iets mis gegaan is bij de controle van Yahoo. Als je dat soort bedrijven al niet kunt vertrouwen ...

't Wordt tijd dat websites die malware serveren, juridisch aansprakelijk gesteld kunnen worden.
Zij verdienen er (ons) geld mee, daar mag best een tegenprestatie tegenover staan

Hmmbob 3 januari 2014 16:17

Weer een goede reden om een adblocker te gebruiken. Wederom blijkt het advertentie-systeem kwetsbaar, na eerdere malware verspreidingen via de Telegraaf en nu.nl met behulp van advertenties.

Overigens, speciaal voor de tweakers voorwaarden: een beetje adblocker heeft ook een mogelijkheid tot whitelisten...

[Reactie gewijzigd door Hmmbob op 23 juli 2024 02:44]

GrooV @Hmmbob • 3 januari 2014 16:28

Wat als tweakers malware gaat serveren? Yahoo doet dat ook niet expres, kan me voorstellen dat het bij tweakers ook kan gebeuren

Hmmbob @GrooV • 3 januari 2014 16:33

Correct. In mijn point-of-view blokkeer je alle advertenties, maar daarmee schend je de voorwaarden van Tweakers. Maar je hebt helemaal gelijk

M.l. @Hmmbob • 3 januari 2014 18:15

Eigenlijk is het niet eens blokkeren, je doet er uiteindelijk helemaal niets mee.

Alexxxxxxxxxx @M.l. • 3 januari 2014 19:16

Hangt van je browser af. Chrome laad de advertenties gewoon in, maar laat ze niet zien. Firefox laad ze helemaal niet in.

thegve @Alexxxxxxxxxx • 5 januari 2014 14:14

Dan helpt het dus bij Chrome ook niet tegen malware.

ilaurensnl @GrooV • 3 januari 2014 18:55

Klopt, maar voor z'n groot bedrijf verwacht je dat het goed beveiligd is. Dit doet me denken aan een youtube filmpje waarover ze over NSA en GCHQ praten,

http://www.youtube.com/watch?v=b0w36GAyZIA
33:50

Ze zijn een doelwit omdat ze zo lek als een mandje zijn. *Ze houden van yahoo*

supersnathan94 @GrooV • 3 januari 2014 23:45

Ik denk dat die kans vrij klein is aangezien tweeakters volgens mij met partners werkt. De advertenties komen dan dus niet zomaar ergens vandaan, maar worden wel gecontroleerd.
Bovendien wordt mijn flashplayer standaard in energiebesparing gezet en moet ik er actief op klikken om de content echt in te laden. dat scheelt dus een hoop aan bewegende ads enzo.

Verwijderd @Hmmbob • 3 januari 2014 16:30

Het grappige is dat je nu zelf ook de grote fout maakt "whitelisten", yahoo heeft er niet voor gekozen om malware te serveren. Kortom, dit kan iedere website gebeuren ( mits ze gebruik maken van een externe ad cluster ).

Hmmbob @Verwijderd • 3 januari 2014 16:35

Yahoo heeft klaarblijkelijk geen gebruik gemaakt van een externe ad cluster, af te zien aan "ads.yahoo.com". Maar dit kan iedere adverteerder overkomen inderdaad, vandaar dat ads blocken, imho, een goed idee is.

--Andre-- @Hmmbob • 3 januari 2014 18:07

Je kent de interne structuur niet hè, ads.yahoo.com kan een proxy zijn die de content elders vandaan haalt.

jarrin @--Andre-- • 3 januari 2014 19:13

Eens, maar het ook wel logisch dat Yahoo geen Google Ads gaat gebruiken

En als het al een eigen advertentiesysteem is, maakt dat nog niet veel uit. Op zo'n grote schaal kan er altijd wel kwaadwillende software tussendoor schieten.

ch4rl3m4gn3 @Verwijderd • 3 januari 2014 17:20

Klopt maar met whitelisten verklein je wel de kans dat je getroffen wordt t.o.v. niets blokkeren. Het is een lastig probleem wat enerzijds wil je sites die je vaak bezoekt de inkomsten gunnen maar ook zo goed als het kan malware tegenhouden.

Verwijderd @Hmmbob • 3 januari 2014 16:37

Adblocker? Ik heb die server gewoon in mijn hosts file staan. Dan kan je sommige reclame doorlaten mocht je het willen. En ja, het bewijst weer dat het een beveiligingsrisico is als je het niet doet.

Edit: Het modereren hier blijft een wonder. Adblock, waarbij je alle servers blokkeert wordt geplust, maar het blokkeren via hostfile, waarbij je bijvoorbeeld ads.tweakers.net wel zou kunnen toelaten, is ongewenst?

[Reactie gewijzigd door Verwijderd op 23 juli 2024 02:44]

William_H @Verwijderd • 3 januari 2014 17:56

Je wordt waarschijnlijk gemind, omdat wat je zegt gewoon niet waar is. Met Adblock Plus kun je juist heel gemakkelijk aangeven dat je 1 pagina of het hele domein (bijv. Tweakers.net) toestaat ads te serveren.
Dat kan inderdaad ook met een host file, maar is omslachtiger voor de 'gewone man'.
Daarnaast start je browser en/of OS trager op met een grote host file, terwijl je dit kunt vermijden met Adblock.

Verwijderd @Verwijderd • 3 januari 2014 18:40

Opgelet daarmee: de hosts file werkt niet altijd zoals je zou willen.
Bijvoorbeeld:
0.0.0.0 yahoo.com

Als je dan pingt naar yahoo.com, dan zal je zien dat ie naar 127.0.0.1 leidt.
Maar als je pingt naar www.yahoo.com, dan zal je zien dat ie niet naar 127.0.0.1 leidt.
Je zou in principe alle subdomeinen ook moeten toevoegen.

Een betere oplossing is een eigen simpele DNS server te installeren, zoals bv dnsmasq.
Dan heb je dit probleem niet.

leuk_he @Hmmbob • 4 januari 2014 13:01

Eigenlijk: de reden dat de ads niet geservert worden vanaf news.yahoo.com of tweakers,net, is omdat yahoo of tweakers de adverteerder niet de verantwoording over hun servers wil geven.

Waarom zouden wij als gebruikers dan wel zomaar alle content eten die adservers leveren.

Met rustige tekst of plaatjes is niks mis, maar verder heb ik noscript draaien om niet zomaar twijfelachtige exploit code geservert te krijgen.

calvinturbo 3 januari 2014 16:17

Dat is niet zo fraai.
Apart dat een groot bedrijf als Yahoo dit overkomt..
Ik weet niet of Yahoo een eigen ad dienst heeft zoals Google, maar slordig dat ze dit niet gecontroleerd hebben.

Verwijderd @calvinturbo • 3 januari 2014 17:29

Je zou inderdaad zeggen dat ze de boel monitoren, in ieder geval op aanpassingen / veranderingen aan het systeem.

thegve @Verwijderd • 5 januari 2014 14:18

Aan de kant van Yahoo is er waarschijnlijk niets bijzonders gebeurt. Gewoon een adverteerder die een advertentie aanlevert.
Het enige wat Yahoo had moeten en kunnen doen is het bestand scannen, en eventueel handmatig door een medewerker laten bekijken.

Mr.Monk 3 januari 2014 17:07

Ik krijg ook geregeld mail van Yahoo gebruikers, 100% daarvan is rommel. Yahoo heeft zijn zaakjes niet altijd voor elkaar blijkbaar. Gelukkig gaat alles van *.yahoo.com met een regel rechtstreeks de prullenbak in.

mae-t.net @Mr.Monk • 5 januari 2014 00:59

En op welke manier heet dit met advertenties op websites te maken?

Overigens is "alles weggooien" wel een extreem antieke en vooral domme manier van spambestrijding, waarmee je je vroeg of laat natuurlijk in de vingers snijdt.

Als je spamassassin of daarop gelijkende systemen gebruikt, dan ken je gewoon 1 of meer extra punten toe aan mail van bepaalde domeinen, zodat ze eerder dan andere mail, maar nog steeds afhankelijk van andere kenmerken in header of body, als spam gefilterd kunnen worden.

ckr 3 januari 2014 16:40

Dit doet mij weer twijfelen om toch een adblocker te installeren. Enerzijds betaalt de reclame voor een hoop sites en zorgt daarmee voor het bestaan van die sites en is de reclame soms ook interessant (en je hoeft er niet op te klikken), anderzijds zit ik niet te wachten op malware natuurlijk.

Ook deze aanval moet weer af zijn te slaan met een goed antivirus programma maar je kunt er op wachten dat er malware komt (of al is???) die daar doorheen breekt.

Verwijderd 3 januari 2014 17:23

Zelf gebruik ik op twee computers een adblocker in de browser. Ook frames en iframes zijn standaard geblokkeerd via de extensie ScriptSafe (voor de browser Google Chrome). Het is een goede defensie om doorstuur naar een exploitkit te voorkomen.

Dacuuu 3 januari 2014 16:23

Adblockplus + ghostery + (HttpS Everywhere) Onmisbaar op het internet. En ja ik heb zelf ook een website met google ads er op.

kjast @Dacuuu • 3 januari 2014 16:34

Je kunt beter Disconnect gebruiker dan Ghostery. Ghostery deelt (verkoopt) informatie over geblockte advertenties met derden.

fyi: http://purplebox.ghostery.com/?p=1016023438

[Reactie gewijzigd door kjast op 23 juli 2024 02:44]

Verwijderd @kjast • 3 januari 2014 16:45

Ghostery krijgt die gegevens uit GhostRank wat een opt-in is. Die functie kan je dus uitschakelen.

GigaPixels @Dacuuu • 3 januari 2014 16:46

HTTPS everywhere is inderdaad een handige extensie, maar het beschermt je natuurlijk niet tegen malware. Het zorgt er enkel voor dat je, wanneer een site een HTTPS verbinding ondersteunt, je altijd op de HTTPS wordt gezet. Handig voor login pagina's die niet automatisch SSL afdwingen.
Tegenwoordig al een beetje achterhaald, want wanneer een site SSL aanbiedt, dwingen ze die meestal ook af op de plaatsen waar dat moet (login/register/priveberichten of zelfs de gehele site).
Al blijft de extensie handig om content van CDN's via een HTTPS verbinding toe te krijgen, iets wat op de achtergrond gebeurt.

GigaPixels @WokeBroke • 3 januari 2014 16:48

AdSense is van Google en Yahoo en Bing hebben enkel een overeenkomst inzake hun advertentienetwerk. Dus ik denk niet dat Yahoo met opzet malware zou toelaten op hun netwerk, om .. de concurrentie in een slecht daglicht te zetten?

Op dit item kan niet meer gereageerd worden.

Nederlands beveiligingsbedrijf: Yahoo serveerde malware - update

Lees meer

IT-banen

Reacties (39)

Sorteer op:

Weergave: