De website van Java is dagenlang gebruikt om malware te verspreiden, onder meer via een Java-exploit. Dat ontdekte het Nederlandse beveiligingsbedrijf Fox-IT. De site is niet zelf gehackt; de malware werd via een advertentienetwerk verspreid. Ook andere sites werden getroffen.
De malware werd dagenlang verspreid via het advertentienetwerk AppNexus, ontdekten onderzoekers van Fox-IT. Dat advertentienetwerk is eerder misbruikt om malware te verspreiden. Dat ook Java.com is getroffen, is ironisch; de aanvallers gebruikten onder meer een exploit in Java om bezoekers van de website ongemerkt te besmetten met malware. Daarnaast werden exploits in Silverlight en Flash misbruikt.
Java.com bevat zelf geen advertenties; waarschijnlijk gebruikte de website een tool van AppNexus om gebruikers die op een banner hebben geklikt te kunnen volgen bij het verdere gebruik van de website. Op die manier werden eerder ook de sites van Marktplaats, Wehkamp, verzekeraar VGZ en Groupon, en datingsite Lexa geïnfecteerd met malware.
Wie in dit geval met verouderde software naar Java.com of een andere geïnfecteerde site ging, liep het risico om besmet te worden met de Asprox-malware. Die wordt onder meer gebruikt voor bannerclickfraude en het verzenden van spam. Naast Java.com werden TVGids.nl, DeviantArt, entertainmentsite TMZ, Photobucket, IBTimes, de Ierse eBay-versie en het Belgische Marktplaats-equivalent Kapaza getroffen.
De websites serveerden malware van vorige week dinsdag tot vrijdag, zegt Fox-IT-onderzoeker Yonathan Klijnsma tegenover Tweakers. "Maar niet iedere bezoeker die er kwam kreeg malware", zegt hij. In sommige gevallen slaagden de aanvallers erin om de malware te serveren via het advertentienetwerk van AppNexus, maar in veel gevallen niet.
AppNexus zei eerder tegenover Tweakers dat het een team van onderzoekers heeft samengesteld dat zijn best doet om malafide advertenties te blokkeren. Chief technology officer Geir Magnusson tekent echter aan: "Als we één malafide adverteerder blokkeren, duikt er een nieuwe op." Sinds een aanval eerder dit jaar heeft het bedrijf extra maatregelen genomen.
Het gebeurt vaker dat websites via advertenties onbewust malware verspreiden. Dat overkwam in het verleden onder meer het NRC Handelsblad, De Telegraaf en Nu.nl. Kwaadwillenden kopen dan een banner in die ze vervolgens gebruiken om malware te verspreiden of ze hacken een advertentieserver. Vooral OpenX, opensourcesoftware voor advertentieservers, is notoir onveilig.
Oracle, het bedrijf dat Java beheert, was niet bereikbaar voor commentaar.
Lees ook deze achtergrond van Tweakers over het gebruik van banners voor het verspreiden van malware.