'NU.nl verspreidde malware via geïnfecteerd advertentienetwerk' - update 2 - IT Pro - Nieuws

Onder meer NU.nl, NuSport en Voetbalzone verspreidden malware doordat een advertentienetwerk was geïnfecteerd. Dat ontdekte een beveiligingsonderzoeker van Fox-IT. NU.nl heeft het advertentienetwerk inmiddels geblokkeerd.

NU.nl NU.nl, NuSport en Voetbalzone waren zelf niet verantwoordelijk voor de verspreiding van de malware, benadrukt beveiligingsonderzoeker Yonathan Klijnsma van Fox-IT. "De schuld ligt niet bij hen, maar bij een advertentieprovider", aldus Klijnsma. "Het is erg moeilijk te bepalen waar het precies zat. Ergens in het advertentienetwerk ging het fout."

Anderhalf uur nadat het probleem aan het licht kwam, heeft NU.nl het verantwoordelijke advertentienetwerk geblokkeerd, nadat de site eerder al uit voorzorg alle advertenties tijdelijk uitschakelde. Volgens NU.nl was alleen de desktopsite getroffen, en liepen gebruikers van de apps geen risico. Ook bij NuSport en Voetbalzone is het probleem opgelost.

De aanvallers gebruikten een zogenoemde exploit kit; die proberen gaten in software te misbruiken om malware te installeren. Welke malware precies werd verspreid, is echter niet duidelijk, evenals het aantal bezoekers dat met malware werd geconfronteerd. "Maar in grote bedrijven zal het meevallen, want de advertenties werden via een server op een hoge poort verspreid. Wie dus bijvoorbeeld alleen de poorten 80 en 443 toelaat, had er geen last van", aldus Klijnsma.

Advertentienetwerken worden vaker gebruikt om malware te verspreiden. Aanvallers kopen bijvoorbeeld advertenties in die ze voorzien van malware, of ze kraken een advertentieserver. Omdat advertentienetwerken vaak content van elkaar inladen en advertenties automatisch worden doorverkocht, is het verspreiden van malware moeilijk te voorkomen.

In het verleden heeft NU.nl vaker malware verspreid. Dat gebeurde onder meer via gekraakte advertentienetwerken, maar ook door in te breken bij NU.nl zelf. Onder meer NRC, De Telegraaf, Wehkamp en Marktplaats overkwam hetzelfde.

Update, 17:36: NU.nl heeft uit voorzorg alle advertenties uitgezet. Die informatie is toegevoegd aan het artikel.

Update, 18:04: NU.nl heeft het probleem opgelost; het artikel is bijgewerkt.

IT-banen

Reacties (206)

Belecthor 1 juli 2014 19:16

Dit is niet de eerste keer dat dit Nu.nl overkomt. Vreemd dat ze bij Nu.nl niet meer zijn gaan kijken naar een veiliger advertentienetwerk. Ik snap dat Adblock een vervelende oplossing is voor veel websites, maar zolang dit soort zaken gebeuren snap ik dat het gebruik van Adblock hard toeneemt.

stresstak @Belecthor • 1 juli 2014 22:07

Ik snap dat Adblock een vervelende oplossing is voor veel websites,

Deze shit is nou juist de reden dat adblocker is uitgevonden en meer en meer wordt toegepast.
Dan kunnen ze huilie-huilie doen en het gemeen vinden, maar rancuneus en recalcitrant als ik ben: blokkeren de zooi. Het was tenslotte niet de eerste of laatste keer.

MuddyMagical 1 juli 2014 17:13

Van Yonathan Klijnsma's twitter account:

"Exploitkit in question is the SweetOrange EK. Landing page is on high ports so offices allowing only 80 443 aren't affected."

https://twitter.com/ydklijnsma/status/483986950677090304

belal

@MuddyMagical • 2 juli 2014 08:28

Thanks, dat was wat ik wilde weten,s cheelt hier weer met 10000 PCs

brutus 1 juli 2014 17:43

Apart: eerder op dag nu.nl op de hoogte gebracht nav bevindingen van gisteren sinds een uur of 17, die onderzoeken de zaak en melden om 15:26u terug dat er niets gevonden is, en plots om tegen 17u vandaag komt FOX-IT met een melding over nu.nl met bijna gelijke data als hetgeen wij aangeleverd hebben vanuit ons CERT team. Staat zeker sjieker als een bekende firma dat meldt ;-)

InflatableMouse

1 juli 2014 19:23

NU.nl, NuSport en Voetbalzone waren zelf niet verantwoordelijk voor de verspreiding van de malware

Ik vind dit eigenlijk te belachelijk voor woorden. Ik bezoek geen advertentiebedrijf in mijn browser, maar ik bezoek nu.nl. Nu.nl heeft er voor gekozen zaken te doen met een advertentie bedrijf en kiest er voor om deze advertenties voor te schotelen aan bezoekers van nu.nl. Wat mij betreft ben je dan direct verantwoordelijk en (vind ik) ook aansprakelijk!

En ga nu niet roepen dat je dan maar adblockers moet installeren dat is niet het punt, het gaat mij om het principe.

dezejongeman 2 juli 2014 08:57

jammer dat ook bij tweakers niet gemeld wordt hoe je kunt controleren of je besmet bent en hoe je deze kunt verwijderen. iedereen schreeuwt hier iets met ad-block/no-script/ghostery e.d. maar wat als die specifieke ad nog niet geblacklist stond/staat. dan zijn we mogelijk allemaal besmet als we in die anderhalf uur nu.nl bezocht hebben. kent iemand een lijstje anti-malware software die deze malware al kan detecteren?

BoringDay 1 juli 2014 21:19

"NU.nl, NuSport en Voetbalzone waren zelf niet verantwoordelijk voor de verspreiding van de malware" ....
- Wel hun website eraan koppelen maar niet verantwoordelijk? Nee, het is vast de schuld van de overheid;
- Ze weten dat het malware verspreid maar weten niet welke? Toch knap om het dan te ontdekken;
- Advertentienetwerken worden vaker gebruikt om malware te verspreiden? Gebruik het dan niet, dat zal ook eens strafbaar moeten worden;

Ik geloof het meteen

[Reactie gewijzigd door BoringDay op 25 juli 2024 04:35]

Gloeilamp 1 juli 2014 17:09

Niet de 1e keer dat dit gebeurt bij nu.nl. Toch blij dat ik advertenties van nu.nl blokkeer met mijn addblocker.

Anoniem: 406468 @Gloeilamp • 1 juli 2014 17:22

Tevens ben ik het niet eens met de uitspraak "nu.nl [en anderen] zijn niet verantwoordelijk". Dat zijn ze wel. Ze kiezen er zelf bewust voor de advertenties door een derde partij te laten aanbieden, in plaats zelf te controleren wat ze op hun site laten zien. De schuld ligt niet hoofdzakelijk bij nu.nl in een dergelijk geval, maar het sluit het ook zeker niet uit. Al helemaal niet gezien dit de zoveelste keer is dat via die site malware verspreidt wordt, slechte zaak.

Ozzy @Anoniem: 406468 • 1 juli 2014 18:58

Ze hosten de malware niet, ze linken er slechts naar, het wordt aangeboden door een derde partij en het is te veel werk om alles te scannen. Ik kan me in andere zaken herinneren dat de gemiddelde tweaker er toen heel anders over dacht.

Timo002 @Ozzy • 1 juli 2014 19:26

Goed gevat!

Maar in dit geval wordt je bloot gesteld aan ongewenste content (malware) want je zoekt er zelf niet op. In het geval waar jij op doelt (piratebay neem ik aan) zoek je bewust naar die content.

BoringDay @Ozzy • 1 juli 2014 21:34

Als het teveel werk is dan moet je het niet toevoegen, simple as that.
Weer terug naar het schone internet zonder al die rommel .... veel betere optie.

[Reactie gewijzigd door BoringDay op 25 juli 2024 04:35]

Zyppora @Ozzy • 2 juli 2014 08:55

Ze hosten de malware niet, ze linken er slechts naar, het wordt aangeboden door een derde partij en het is te veel werk om alles te scannen.

Ze linken er niet naar, ze serveren het. Dat dat niet via hun eigen servers gaat maar via een door hen gekozen advertentienetwerk, doet niets af aan de verantwoordelijkheid die zij hebben op hun domein. Het maakt niet uit waar die malware uiteindelijk vandaan komt, je wordt geinfecteerd op nu.nl.

Ik kan me in andere zaken herinneren dat de gemiddelde tweaker er toen heel anders over dacht.

Met als groot verschil dat de malware door je strot geduwd wordt en die 'andere zaken' (ook ik ga er even vanuit dat je TPB en consorten bedoelt) inderdaad alleen maar doorlinken naar waar je de daadwerkelijke content kunt vinden.

Quacka @Ozzy • 2 juli 2014 09:48

Klopt, maar de rechter heeft uitspraken gedaan en daaruit blijkt dus dat er een verantwoordelijkheid ligt. Dus ook al kan ik begrip opbrengen voor bijv nu.nl: ze hebben gewoon een verantwoordelijkheid.

Zou nu.nl nu niet zelf een soort van virusscan over zijn ads kunnen leggen?
Dus:
advertentie -> virusscan -> nu.nl -> gebruiker

Dit moet toch technisch best haalbaar zijn? Natuurlijk kan een virusscan niet alles tegenhouden, maar gewoon maar advertenties van een ander bedrijf tonen: Dat is wel heel laks.

hmartino @Anoniem: 406468 • 1 juli 2014 17:32

Ik ben het hier helemaal mee eens.
Daarnaast mogen advertentiebedrijven ook wel iets meer doen om dit te voorkomen.
Ik word persoonlijk een beetje moe van weer een advertentieverhaal met malware.

marcelvb

@hmartino • 2 juli 2014 02:08

Meerdere partijen zitten fout:
1. De site die in zee gaat met een extern advertentie bedrijf en het niet checkt
2. Het advertentie bedrijf wat het blijkbaar ook niet checkt
3. De browser (+ OS) die blijkbaar zo lek is als een mandje
4. De gebruiker die geen virusscanner of Linux gebruikt
5. De crimineel die de malware verspreidt

Ik blokkeer ads en gebruik Linux. Meer kan ik niet doen. Ben wel kwaad op de andere partijen, want morgen word ik weer gebeld door familie/(semi)bekenden met "mijn pc is zo traag... mijn pc doet gek... help!".

Quacka @marcelvb • 2 juli 2014 09:43

Je volgorde is niet juist. De crimineel is natuurlijk nummer 1.
Zonder dat soort lui hebben de andere 4 geen probleem

Anoniem: 428323 @Anoniem: 406468 • 1 juli 2014 18:45

Inderdaad.
Als ik een winkel binnenloop en een been breek over een losliggende deurmat, dan kan de winkelier ook niet zeggen dat zij niet de fabrikant van de deurmat zijn en dus niet aansprakelijk.

Een klant kan in principe in goed vertrouwen een winkel binnenlopen, en in goed vertrouwen naar nu.nl gaan. Daarom is nu.nl er verantwoordelijk voor om dat vertrouwen waar te maken.

[Reactie gewijzigd door Anoniem: 428323 op 25 juli 2024 04:35]

djwice

@Anoniem: 406468 • 1 juli 2014 20:26

Zou je nu.nl ook aansprakelijk kunnen stellen voor de gevolgen die jij als klant van nu.nl ondervond/ondervind als het gevolg van dat zij aan jou die malware serveerden? (Ik heb persoonlijk geen schade geleden, dus geldt niet voor mijn).

Als consument vindt ik dat de ondernemer die mij de dienst leverde (nieuws via internet) en meer dan gevraagd (advertenties van ander domein met malware), het aanspreekpunt moet zijn voor schadeloosstelling van haar bezoekers, ook al is de dienst gratis. Ook al zou een site/provider gehackt zijn. De ondernemer moet maar zorgen dat zij haar kosten weer gaat verhalen op de schuldige. De schadeloosstelling van de consument zou daar niet afhankelijk van mogen zijn. (nu.nl of haar uitgever zou zich bijvoorbeeld ook tegen dit soort kosten kunnen verzekeren).

stresstak @Anoniem: 406468 • 1 juli 2014 21:32

Tevens ben ik het niet eens met de uitspraak "nu.nl [en anderen] zijn niet verantwoordelijk". Dat zijn ze wel.

Zo ben ik ook niet verantwoordelijk voor wat Ghostery e.a. allemaal blokkeren. Zij doen hun werk.

maartenv @Gloeilamp • 1 juli 2014 17:11

Ik ook. Hw.info en tweakers heb ik op de uitzonderingen lijst staat. Ookal zegt de onderzoeker dat het niet nu.nl hun fout is, vind ik het wel hun verantwoordelijkheid. Het is inderdaad ook niet de eerste keer.

Anoniem: 474132 @maartenv • 1 juli 2014 17:27

Dit kan elke site overkomen die externe content serveert, dus ook tweakers.net.

marcelvb

@Anoniem: 474132 • 2 juli 2014 02:03

Dan moet je geen externe content serveren. Als bezoeker van een site zoals nu.nl, weet ik niet wat zij allemaal binnentrekken via iframes e.d. Het wordt me ook niet gemeld of gevraagd, maar ik zit wel met de gebakken peren. Of nu.nl checkt het, of ze zetten het uit. Nu laten ze het over aan de virusscanner van de bezoeker.

AibohphobiA BoB

@maartenv • 1 juli 2014 17:31

Ja natuurlijk is het wel de verantwoording van Sanoma. Tenslotte gaan ze zelf met een of ander twijfelachtig advertentiebedrijfje in zee.

satya @maartenv • 1 juli 2014 22:13

Ik filter tweakers niet uit. De reklame staat op een onprettige plek, en met de scherm van tegenwoordig is zo een banner bovenin te schermvullend voor mij op een latop. Dat is jammer, want meestal betreft het maar een reklamebanner.

Netrunner @Gloeilamp • 1 juli 2014 17:18

Klopt! Er is een soortgelijk nieuwsbericht tijdje terug gepubliceerd over nu.nl

http://tweakers.net/nieuw...rde-urenlang-malware.html

eL_Jay @Gloeilamp • 1 juli 2014 17:24

Niet de 1e keer dat dit gebeurt bij nu.nl.

Wel de laatste keer dat ik nu.nl bezocht

Crazy Harry 1 juli 2014 17:29

En welk advertentienetwerk is het? Zodat we kunnen controleren of we deze al blokkeren in Ghostery...

styno @Crazy Harry • 2 juli 2014 08:59

Volgens een quote op Webwereld:

"Try to avoid nu.nl at this point as a 3rd party ad provider is redirecting to an exploitkit. Block clickfunder81,com (83.166.234.105)
Yonathan Klijnsma (@ydklijnsma) 1 juli 2014"

JanvdVeer @Crazy Harry • 1 juli 2014 20:45

Zorgen dat je blacklist in Ghostery op auto-update staat en standaard alles blokkeert. Dan ben je altijd veilig

Crazy Harry @JanvdVeer • 1 juli 2014 22:37

Dat is leuk maar ik wil sites niet direct van hun inkomsten ontdoen, die gratis nieuwssites vind ik namelijk wel prima dus ze mogen blijven bestaan.

Menesis 1 juli 2014 17:08

Hoe zit dat eigenlijk als je een adblocker gebruikt? Blokkeert dat ook Malware?

dingezzz @Menesis • 1 juli 2014 17:12

in principe laad je eerst de advertentie in en de adblocker haalt de ad uit de html, dus als het bij het inladen gebeurd dan loop je ook kans op infectie met een blocken. Maar denk dat je er eerst op moet klikken

jarrin @dingezzz • 1 juli 2014 17:17

Dit is dus onjuist. Adblock haakt in op de GET/POST requests en canceld deze (kijk maar eens in je network inspector). De verbindingen worden dus niet geopend.

DeTeraarist @jarrin • 1 juli 2014 17:31

Adblock is niet de enige adblocker. Er zijn er zat die werken zoals dingezzz uitlegt. Sterker nog, Adblock heeft die feature ook, maar gebruikt dit voornamelijk voor je eigen stukken HTML die je wilt verbergen.

dingezzz @jarrin • 1 juli 2014 17:32

Misschien in een aantal gevallen wel zo. ben het met je eens. google adsens is zo'n voorbeeld. Net even gekeken en zijn ook andere aanbieders waarvan we het bestaan nog niet van weten en die blocken ze doormiddel van classes en id's van html elementen (banner, ad, enz..) zelf laatst tegen een probleem aangelopen waarbij de spotify widget geblocked werd door een adblocker

tedades @jarrin • 1 juli 2014 17:35

Ik kan me voorstellen dat er scenario's zijn te bedenken waar op de server de advertentie in de html als script is geïnjecteerd, dat domein (nu.nl) is niet geblokkeerd door adblock (alleen plaatjes/externe-scripts e.d.). De plaatjes worden dan geblokkeerd maar het script zou uitgevoerd kunnen worden.
Als je niet wilt dat zoiets zou gebeuren kun je naast adblock natuurlijk noscript kunnen gebruiken.

Armada651 @dingezzz • 1 juli 2014 17:25

Dat klopt niet, de adblocker zorgt dat alle communicatie met een advertentie domein wordt geblokkeerd. Zolang het niet de website zelf is die geinfecteerd is zal de adblocker je beschermen.

Ook is het niet zo dat je er eerst op moet klikken, de advertentie banner serveert doorgaans direct de malfide code.

simthadim @Menesis • 1 juli 2014 17:10

een adblocker blokkeert de communicatie van de advertentie en jouw PC. Als gevolg blokkeert deze ook de verspreiding van de malware op deze manier. MAAR.. alleen als het advertentienetwerk ook geblacklist is 'in' je adblocker.

[Reactie gewijzigd door simthadim op 25 juli 2024 04:35]

desalniettemin @simthadim • 1 juli 2014 17:34

Huidige versie van ABP blokkeert reclame's niet meteen. Nog steeds niet opgelost, dus gebruik ik voorlopig maar een oudere versie namelijk: 2.5.1.

JAVE @desalniettemin • 1 juli 2014 17:52

En zet wel even de 'automatic updates' uit in de add-on settings :-)

(edit)

O, ja... Dit zou ook moeten werken met de nieuwere versies:

In about:config, zet 'extensions.adblockplus.please_kill_startup_performance' op true

[Reactie gewijzigd door JAVE op 25 juli 2024 04:35]

Titan_Fox @JAVE • 1 juli 2014 20:59

En ook even het vinkje uitzetten bij "niet opdringerige advertenties toestaan"; dan ben je direct van die irritante reclames af die voor Youtube filmpjes zitten.

desalniettemin @JAVE • 1 juli 2014 20:52

Had ik al gedaan

Brazos @desalniettemin • 1 juli 2014 18:37

Naast Adblock kun je ook nog Ghostery gebruiken, deze vullen elkaar goed aan. (En Ghostery kan wat meer dan Adblock.)

Anoniem: 325463 @Brazos • 1 juli 2014 18:53

In ghostery kan je ook gewoon alle adnetwerken blocken met een muisklik, dan is adblock ook gelijk overbodig

belal

@Anoniem: 325463 • 2 juli 2014 08:22

Niet helemaal waar.

Snelle test met alleen ghostery op telegraaf.nl (het ad walhalla lijkt het wel)...

Met alleen ghostery komt nog een enkele ad door. Met adblock edge niet. Let wel, adblock edge met de volgende subscriptions:
Easylist
Easylist Dutch + EasyList
No Mercy Easylist
No Mercy Easy Privacy
Easy Privacy + Easylist

Moet nog uitzoeken welke subscriptions weg kunnen wegens dubbele dekking.

djwice

@Anoniem: 325463 • 4 juli 2014 20:35

In ghostery kan je ook gewoon alle adnetwerken blocken met een muisklik, dan is adblock ook gelijk overbodig

ik een simpele implementatie work-a-round bedacht waardoor de meeste scripts niet door Ghostery worden herkend. Dus op onze site krijg je alleen de meldingen van Ghostery die wij willen dat je ziet

Rockvee2 1 juli 2014 18:19

Voor de mensen die adblocker gebruiken, hoe moet een website geld verdienen?

Blaise @Rockvee2 • 1 juli 2014 18:48

Met abonnementen, referrals, speciale acties, donaties, productverkoop, in-house advertenties?

Ik vind dat je als website niet moet eisen dat een consument zijn privacy en veiligheid opgeeft.

[Reactie gewijzigd door Blaise op 25 juli 2024 04:35]

Rockvee2 @Blaise • 1 juli 2014 19:35

Tweakers.net zou nooit zo groot zijn geworden met alleen een abbonee-toegang site

Met een abbonment geef je ook je privacy en veiligheid op want als ze de database hacken waar jij je gegevens heb ingevoerd is dat een stukje erger dan maar een infectiebanner.

Zyppora @Rockvee2 • 2 juli 2014 10:47

Met een abbonment geef je ook je privacy en veiligheid op want als ze de database hacken waar jij je gegevens heb ingevoerd is dat een stukje erger dan maar een infectiebanner.

Onzin. Wanneer je je registreert bepaal je zelf welke gegevens je vrijgeeft. Username, uniek (!!!) wachtwoord, email adres + wat website voorkeuren. In het ergste geval krijg je dus meer spam in je inbox.

Voor jou als bezoeker is een infectie een stuk erger omdat daarmee mogelijk je hele PC/thuisnetwerk gekaapt kan worden.

Als ik mocht kiezen tussen mijn PC geinfecteerd en mijn T.Net (of welke andere willekeurige website waar ik een profiel heb) database record(s) in handen van derden, dan wist ik het wel.

Cheetah_777 @Rockvee2 • 1 juli 2014 18:24

Tijd voor een nieuw verdienmodel? Met of zonder advertenties ik bepaal zelf wat ik nodig ben/wil. Daarnaast als ik aan het internetten ben wil ik geen knipperende banners voor iets wat ik niet nodig ben.

Rockvee2 @Cheetah_777 • 1 juli 2014 19:33

Ik vind van die knipperende half scherm grootte banners ook niks op popups . Ik vind dat bij een website normale banners horen .

tweaker2010 @Rockvee2 • 1 juli 2014 18:29

Niet door malware te verspreiden iig. Advertenties prima, maar je wilt niet geinfecteerd worden.

xoniq @Rockvee2 • 1 juli 2014 19:13

Fatsoenlijk advertenties voorschotelen, geen huge half scherm vullende banners, soms zelfs met filmpjes erin, en als ze perse willen verdienen, blokkeren ze me maar op het gebruik van een adblocker, care. Alternatieven genoeg.

kendo @Rockvee2 • 1 juli 2014 20:16

Om eerlijk te zijn......don't give a shit!

Ik ga geen moeite meer doen om uit te zoeken bij welke site ik me wel of niet bloot stel aan malware, spam of andere crap. Ik ben er al jaren klaar mee en de boel zit nu gewoon op slot.

Zyppora @Rockvee2 • 2 juli 2014 10:38

Voor de mensen die adblocker gebruiken, hoe moet een website geld verdienen?

In elk geval niet op een manier waarbij de bezoeker geconfronteerd wordt met continu in de gaten gehouden worden, ongevraagd en zonder erop gewezen te worden online profilen van ze worden aangemaakt, en als klap op de vuurpijl ook nog eens blootgesteld worden aan het risico geinfecteerd te worden.

Op dit item kan niet meer gereageerd worden.

'NU.nl verspreidde malware via geïnfecteerd advertentienetwerk' - update 2

Lees meer

IT-banen

Reacties (206)

Sorteer op:

Weergave: