'Dumpert, 9gag en Yahoo verspreidden malware' - update - IT Pro - Nieuws

Meerdere populaire websites als 9gag, Dumpert en Yahoo Finance verspreidden malware via geïnfecteerde advertenties. Dat meldt beveiligingsbedrijf Proofpoint. Het gaat om ransomware, die bestanden van gebruikers versleutelt en tegen betaling weer ontsleutelt.

Naast 9gag, Yahoo Finance en het Nederlandse Dumpert zijn volgens Proofpoint ook een subsite van Aol, het tijdschrift The Atlantic en datingssite Match.com getroffen. De websites verspreidden de malware niet zelf; de aanvallers gebruikten advertentienetwerken om hun malware te verspreiden. Daaronder was onder meer één OpenX-server; die advertentiesoftware staat bekend om zijn beveiligingsproblemen.

Wie een van de getroffen websites heeft bezocht, kan volgens Proofpoint zijn geïnfecteerd met de CryptoWall 2.0-ransomware. Net als andere ransomware versleutelt CryptoWall bestanden van gebruikers, met de melding dat ze de bestanden pas weer kunnen benaderen tegen betaling. Bovendien worden getroffen gebruikers geconfronteerd met een aftellende klok; bereikt die het nulpunt, dan worden de bestanden van gebruikers permanent gewist.

Gebruikers kunnen zijn geïnfecteerd zonder dat ze ergens op hebben geklikt; daartoe gebruikten de aanvallers een exploit kit. Die probeert om middels beveiligingsproblemen in software om malware te installeren. De aanvallers vermomden hun malvertisements als legitieme advertenties van bestaande merken als Microsoft Bing en Fancy.

Update, 15:34: GeenStijl, de zustersite van Dumpert, stelt dat er nog geen bevestiging is dat de site daadwerkelijk malware heeft verspreid. Desondanks belooft GeenStijl kritischer te zullen kijken naar adverteerders. "Elke code van elke reclame altijd door de full body scanner heen", aldus de site.

Proofpoint malware

IT-banen

Reacties (243)

True 24 oktober 2014 14:06

Without having to click on anything, visitors to the impacted websites may be stealthily infected with the CryptoWall 2.0 ransomware. Using Adobe Flash, the malvertisements silently “pull in” malicious exploits from the FlashPack Exploit Kit. The exploits attack a vulnerability in the end-users’ browser and install CryptoWall 2.0 on end-users’ computers.

Dus als je flash niet automatisch laat draaien ben je veilig.

Anoniem: 63975 @True • 24 oktober 2014 14:40

Lekker weer Adobe. Dezelfde prutsers die een verouderde versie van Adobe Reader online zetten, omdat het financieel niet interessant is de applicatie te vertalen. Ik zou graag zien dat hiermee HTML5 video verder gepushed wordt en Adobe's pruts software niet langer gebruikt hoeft te worden.

Anoniem: 221563 @True • 24 oktober 2014 14:37

Gelukkig, heb geen flash meer aanstaan in de browser

Mijnenveger 24 oktober 2014 13:58

Dat cryptolocker is echt een 'pain-in-the-ass'. Jammer dat er criminelen zijn die misbruik maken d.m.v. een advertentie netwerk.

[Reactie gewijzigd door Mijnenveger op 24 juli 2024 23:45]

Anoniem: 601896 @Mijnenveger • 24 oktober 2014 14:21

Je hebt ook al een variant voor android beschikbaar, simpellocker of s/lockerA doet hetzelfde op android. Het encrypt alles, en geeft je alleen een decryptie sleutel als je betaalt.

Ook daar kom je aan via een louche advertentie netwerk. Je hebt gelukkig steeds meer sites die je kan betalen om geen advertenties te laten zien, zodat je 'veiliger' bent. Een beetje tweaker blokkeerd selectief advertentie netwerken, al wordt je internet dan vaak minder functioneel. Een moderne browser met modern os, in combinatie met gezond verstand helpt ook veel. Al blijft het verdedigen tegen een ongepatchte exploit in browser of os bijna onmogelijk.

asing

Netwerk en systeembeheer

@Anoniem: 601896 • 24 oktober 2014 14:56

Bijna iedere site maakt gebruik van één of meerdere advertentienetwerken om inkomsten te genereren. Ook Tweakers, ook de Telegraaf, ook Nu.nl en noem meer van die veelbezochte sites.

1) je weet niet welke advertentienetwerken er gebruikt worden
2) je weet niet welk systeem die netwerken gebruiken
3) je kan niet voor iedere site een abo kopen om zonder reclame toch te kunnen lezen

Dus, voor de veiligheid van je eigen data kan je bijvoorbeeld alleen surfen op een aparte machine die alleen het internet op mag, of in een sandbox. Dat is een nogal botte oplossing voor het probleem.

Beter is het om adblock of ghostery te gebruiken. Het voordeel is dat je advertenties per site kan toestaan (als je bijvoorbeeld tweakers inkomsten gunt) of bepaalde advertentienetwerken wel wil toestaan en andere weer niet. Ook tracking cookies, widgets en andere malware verspreidende sites worden gestopt. Werkt op Firefox onder windows, linux en android.

Ja dat is vervelend voor de makers van de website, maar ook zij kunnen niet garanderen dat hun advertentienetwerk schoon is en blijft. Het is voor criminelen te lucratief en te makkelijk om je data te gijzelen.

[Reactie gewijzigd door asing op 24 juli 2024 23:45]

Jorgen @asing • 24 oktober 2014 15:07

Ik gebruik zowel Ghostery als Adblock. In hoeverre ben je dan nog vatbaar voor zo'n valse driveby als je zo'n site bezoekt? Verder heb ik een goede, betaalde, virusscanner die standaard wordt geupdate zodra ik de laptop aanzet.

asing

Netwerk en systeembeheer

@Jorgen • 24 oktober 2014 16:19

Er is een plugin voor firefox die laat zien waar je browser naartoe connect als je een site bezoekt. https://www.mozilla.org/en-US/lightbeam/ Dan bezoek je bijvoorbeeld Tweakers en dan zie je direct welke sites ook worden geraadpleegd. Zonder adblockers ontploft je scherm van de sites en linkjes, met werd het een heeeeel stuk minder.

Als je adblock en ghostery aanzet zal je zien dat het een stuk minder is en kan je controleren of er verbinding wordt gemaakt met de advertentiesites. Als dat niet zo is ben je veilig voor deze drive-by shooting.

Jorgen @asing • 24 oktober 2014 20:22

Dan moet je dus eigenlijk kunnen instellen dat er überhaupt geen verbinding meer gemaakt mag worden met externe sites.

Frederic98 @Jorgen • 24 oktober 2014 22:06

Veel sites hebben de afbeeldingen op een andere server staan zodat de pagina sneller kan laden. De browser kan een maximaal aantal bestanden per server tegelijkertijd downloaden (dacht ik). Door de afbeeldingen op een andere server te zetten, kunnen er meer bestanden tegelijkertijd komen.

edit: En dingen als Google Custom Search op een website.

[Reactie gewijzigd door Frederic98 op 24 juli 2024 23:45]

Anoniem: 125509 @asing • 24 oktober 2014 22:01

Ik heb daar eens mee getest, maar een stuk of 6 sites noem ik niet onmiddelijk een ontploffing. Precies net zoveel als met Ghostery in mijn geval.

Misschien moet ik meer gare addons en plugins instellen. De sandboxed browser ging namelijk eerst wel uit zijn bol, maar dat lag aan een Youtube downloader die kennelijk tracking injectereerde in de site. Het viel me tenminste op dat er via hun site een web aan andere sites getriggerd werd.

*Edit: Ik zie dat ik een foutje in de filtering had zitten in Ghostery op de zandboxed browser. Daarmee ga ik twee cookie trackers omlaag naar nog 4 sites op Tweakers.

[Reactie gewijzigd door Anoniem: 125509 op 24 juli 2024 23:45]

Anoniem: 125509 @Jorgen • 24 oktober 2014 22:15

Als de adblocker alle actieve content blocked ben je redelijk veilig. Als de adblocker alleen content van ad netwerken blocked, hang je als je op een site terecht komt die zelf gehacked is.

Een adblocker tegen malware is wat mij betreft schijnveiligheid.

Maar goed, het is een populaire reden om het blocken van ads goed te praten.

sjongenelen @Jorgen • 24 oktober 2014 17:28

Volgens mij ben je daar nog prima vatbaar voor met een adblocker

Dat je een element niet ziet op een pagina wil niet zeggen dat tie er niet is..

Nvm is niet mee zo geloof ik

[Reactie gewijzigd door sjongenelen op 24 juli 2024 23:45]

Jorgen @sjongenelen • 24 oktober 2014 20:21

Dat vroeg ik me dus inderdaad ook af. Dat je iets niet ziet, betekent niet dat het er niet is. Vandaar die drive-by'. Je weet niet eens dat je besmet raakt, of niet.

Anoniem: 125509 @asing • 24 oktober 2014 21:44

Dus, voor de veiligheid van je eigen data kan je bijvoorbeeld alleen surfen op een aparte machine die alleen het internet op mag, of in een sandbox. Dat is een nogal botte oplossing voor het probleem.

Er is een veel eenvoudigere oplossing.

Gewoon je plug-ins uitzetten.

99,9% van de malware verspreid zich tegenwoordig via oude lekken in Flash, Silverlight en de Java plugin. Die 0,1% die zich verspreid via echte lekken in de browser kom je in het wild zo goed als niet tegen.

Ik gebruik zelf Ghostery om de tracking shit te blocken, maar de ads laat ik gewoon door.

atmoz_nl @asing • 24 oktober 2014 17:46

Heel vervelend dat virus zo wordt verspreid. Zullen de meeste websites wel last van zullen krijgen omdat meer mensen weer de adblockers zullen gaan installeren.

Heb zelf al jaren adblocker en ghostery. Ja ik block gewoon alles dus ook voor tweakers. Niet omdat ik ze geen inkomsten gun maar een site zoals tweakers zou toch beter weten dat meeste gebruikers geen cookies willen hebben. Een site als tweakers zou ik hoger inschatten dat ze geen cookies nodig hebben om mensen te kunnen volgen.
Je kan zo alles ophalen waar iemand vandaan komt en hoeft dus ook niet opgeslagen te worden.
Snap best dat veel advertentie netwerken dit niet accepteren maar volgens mij moet een website als tweakers gewoon sponsor deals kunnen opduiken. Zet je images lokaal en plop iedereen ziet ze. Reclame filmpjes kunnen gewoon in filmpje worden verwerkt. Is het dan minder gericht? Ja.... maar een website als tweakers moet zelf heel goed weten welke niche iemand in geintresseerd is.

Armin

Netwerk en systeembeheer

@atmoz_nl • 24 oktober 2014 18:31

Een site als tweakers zou ik hoger inschatten dat ze geen cookies nodig hebben om mensen te kunnen volgen

Tweakers heeft het niet nodig, maar hun reclame broodheren vinden van wel betreft hun adds. Dan kun jer als Tweakers op je kop gaan staan, maar het is dan gewoon stikken of slikken.

Tracking cookies zijn zo goed als exclusief enkel en alleen voor reclame.

atmoz_nl @Armin • 24 oktober 2014 18:46

Mij kan je niet vertellen dat omdat ik mijn ghostery & adblockers aan heb staan het effect tig keer hoger is als er ineens wel wat omhoog schiet.
Dus als tweakers zijnde zouden ze mijn inziens dit toch gewoon moeten kunnen verkopen aan een add. Ja dat een pampers hier geen boodschap aan snap ik. Maar je kan mij niet verkopen dat als je asus/intel of enig technisch bedrijf zoiets niet kan verkopen. Enige is wel dat je inderdaad geen gebruik kan maken van de advertentie netwerken om je reclames in te kopen. Maar goed na zulke berichten wil je daar ook niet van afhankelijk zijn lijkt me.

Berrick @asing • 24 oktober 2014 15:11

Voor de volledigheid, Adblock werkt ook op Chrome

CriticalHit_NL @Mijnenveger • 24 oktober 2014 14:15

Inderdaad, slechte zaak.

Als mensen het willen kunnen ze eventueel HitmanPro Alert proberen, deze biedt onder anderen bescherming tegen het versleutelen van bestanden waaronder ook netwerk shares, en dus ook tegen dingen als Cryptolocker.

Niet bedoelt om hier slecht reclame te gaan lopen maken.

vertigoo @CriticalHit_NL • 24 oktober 2014 14:31

Of je gebruikt Sandboxie. Dan draait je browser in een sandbox. Zodra je geinfecteerd bent met ransomware zet je gewoon je pc uit en weer aan, schoon je je sandbox op en gaat weer verder of er niks gebeurt is

densoN @vertigoo • 24 oktober 2014 16:12

Tools als sandboxie verhogen slechts de drempel en zijn geen garantie tegen malware infecties via je browser. Die 'reset knop' in je sandboxie is leuk, maar er blijft altijd lokale interactie bestaan tussen virtuele browser en OS. De momenten waarop interactie tussen de sandbox en het OS plaatsvind is dan ook het moment waarop malware kan toeslaan en lokale data kan wegschrijven. Een herstart van je computer lost dat probleem ook niet op.

Lees dit artikel maar eens:
http://www.infoworld.com/...rotect-your-desktop-.html

drdelta @densoN • 24 oktober 2014 19:58

Een virtuele machine die binnen een OS uitsluitend voor browsen wordt gebruikt lijkt mij een veiliger alternatief. Wat vind densoN daar van?

rob12424 @drdelta • 24 oktober 2014 20:26

zoiets als qubes os. weet niet of dat werkt. Welke os'en zijn vatbaar eigenlijk?

drdelta @rob12424 • 24 oktober 2014 21:40

Ik bedoelde eerder virtualbox met bijvoorbeeld Linux of Mac OSX om te browsen. Ik moet nog horen dat een exploit uit een virtuele machine ontsnapt is.

Windows only.
Trojan.Cryptowall, Symantec zegt: Risk Level 1: Very Low. Haha, very low.

rob12424 @drdelta • 24 oktober 2014 22:20

de exploit kan low zijn. De gevolgen high. Als dus door die fout een trojan binnenkomt en je hebt virtual box dan gaat hij eerst via host OS. Dus ja dat kan theoretisch wel. Zelfs met Xen enz.

Ik bedoelde qubes os: https://qubes-os.org/
Die xen hypervisor is gepatched!

Ik heb een even nagedacht in principe komt al het netwerk verkeer langs de host voordat het naar het guest os gaat en terug weer langs de host. Of je moet bijvoorbeeld een container hebben met een eigen kernel en een netwerkadapter die alleen verbonden is met de gues via die aparte kernelt. Dan kan het geen kwaad.

oftopic: (dus niet hierop in deze discussie op reageren!!

)@moderaties: In het artikel op tweakers wordt nergens verwezen naar welke OS'en en browsers het gaat. Een ieder die hier naar vraagt is dus ontopic/relevant! Een ieder die hier antwoord op geeft is: +2 informatief (of zelfs +3 want het is een essentiële toevoeging op het artikel)

Wat betreft sandboxing,adblocking en andere oplossingen daaromtrent: Elke manier om de gevolgen van het probleem aan te pakken/verhelpen/voorkomen zijn +1 ontopic/relevant .
Af en toe zijn de moderaties echt drama de laatste tijd.

[Reactie gewijzigd door rob12424 op 24 juli 2024 23:45]

sdk1985 @drdelta • 26 oktober 2014 19:42

Uit je eigen link

Threat Assessment

Wild
Wild Level: Low
Number of Infections: 0 - 49
Number of Sites: 0 - 2
Geographical Distribution: Low
Threat Containment: Easy
Removal: Easy

Damage
Damage Level: Medium
Payload: Demands a ransom to decrypt files on the compromised computer.
Modifies Files: Encrypts files on the compromised computer.

Distribution
Distribution Level: Low

Removal easy vandaar risk level 1 very low (als je dus Norton gebruikt...)

drdelta @sdk1985 • 27 oktober 2014 15:27

Mijn opmerking gaat over het feit dat dit crypto-ware is, en het verwijderen van de malware wellicht makkelijk is, je files zijn weg. Vandaar dat ik de "Risk: low" nogal opvallend vind, veel andere malware besmet je systeem met vanalles smerigs, maar je bestanden raak je niet zomaar kwijt.

densoN @drdelta • 25 oktober 2014 00:26

Naar mijn weten neemt het risico (door toenemende complexiteit ) af drdelta.

Wel heb je nog steeds met twee dreigingen te maken:
1. Een fout in de virtualisatie software waardoor (bij misbruik) de VM niet langer geïsoleerd is.
2. Netwerk mappings/routeringen tussen VM en host.

Een voorbeeld van een 'bug' in virtualisatie software waardoor een aanvaller toegang krijgt tot de fysieke host vind je hier. Daar moet wel bij gezegd worden dat de bug in kwestie pas een gevaar vormt wanneer je:
a) Verouderde VM software draait
b) Een netwerkshare maakt tussen VM en host.

Hoewel ik het gebruik van een VM aanmoedig (zonder netwerk shares en in eigen vlan) voor bijvoorbeeld bankzaken of andere activiteiten met een hoger risico blijft het een feit dat usability dit soort oplossingen vaak toch de das om doet.

Mocht je interesse hebben in het onderwerp raad ik je aan om de paper van John Rusby over Kernelized Secure systems. Hoewel deze paper ruim 30 jaar (!) oud is blijft het probleem actueel, namelijk een 'gedeeltelijke isolatie' van virtuele diensten op fysieke machines.

[Reactie gewijzigd door densoN op 24 juli 2024 23:45]

fireblack

@densoN • 24 oktober 2014 16:48

oke, weer iets geleerd.

LOTG @CriticalHit_NL • 24 oktober 2014 15:01

Ik denk dat ik weer eens pixelserv, met een blacklist op mijn router ga zetten. Dat werkt tenminste op het juiste niveau. Geen mallware naar ieder device op het netwerk via advertenties.

Het spijt mij vriendelijk, maar blijkbaar is het te riskant om advertenties aan te zetten. Als je advertenties die door derden worden aangeleverd op je site zet, dan moet er ook iemand zijn die ik als verantwoordelijke kan aanwijzen als het mis gaat en de kosten declareren. Als niemand aansprakelijk wil zijn, dan vind ik ook niet dat ik het risico moet lopen.

sjongenelen @LOTG • 24 oktober 2014 17:25

Je ziet het verkeerd; het risico is dat klanten adblockers installeren en dat is een slechte zaak.

Om die reden zouden advertentie netwerken gecontroleerd moeten worden, niet omdat jij nergens voor wil betalen.. (en met betalen bedoel ik reclame kijken)

Edit: niet dat ik het niet met je eens ben

[Reactie gewijzigd door sjongenelen op 24 juli 2024 23:45]

Keypunchie @Mijnenveger • 24 oktober 2014 14:38

Goeie backups worden steeds belangrijker.

Jammer dat de aandacht alleen op preventie (virusscan, malwareblocker, patching ligt), en te weinig op 'wat als het mis is gegaan'.

Waarmee ik niet wil zeggen dat die andere zaken niet ook heel belangrijk, of misschien wel stap 1 zijn. Het gaat alleen een keer mis.

Daarom backups. Liefst meerdere. Gebruik zelf Apple Time Machine, maar zou eigenlijk ook vaker een volledige kopie moeten maken voor een offsite 'koude' backup.

ATS @Keypunchie • 24 oktober 2014 15:18

Daar heb ik Crashplan voor, die automatisch zowel on-site (naar NAS) als off-site (naar CrashPlan Central) backups maakt met versioning. Je kan ook andere bekenden gebruiken als destination voor je backup, bijvoorbeeld jouw NAS backuppen bij je broer, en die van je broer bij jou.

DonLexos @Keypunchie • 26 oktober 2014 12:49

En het liefste (ook) OFFsite, iig niet alleen een externe HD die permanent aan je pc hangt ..

Hazuki 24 oktober 2014 13:59

Kan dit mij ook raken als ik NoScript en Adblock gebruik, en dus nooit advertenties zie?

JST94 @Hazuki • 24 oktober 2014 14:06

Adblocker zoekt de advertenties op op de webpagina. Vervolgens past hij de broncode van de pagina aan, hier zet hij de advertenties naar : 'Display: none'.

De advertenties worden wel gewoon geladen op je pagina, alleen Adblocker maakt ze onzichtbaar voor je.

Dat is in ieder geval wat ik er van begreep van hun website

vharten @JST94 • 24 oktober 2014 14:11

Klopt niet, op basis van het filter worden de advertenties al bij het downloaden tegengehouden.
In de eerste versies van de Chrome plugin werden advertenties inderdaad alleen verborgen, omdat extensies in Chrome geen rechten hadden om het downloaden te beïnvloeden.
In 2010 is dat opgelost, zie: http://downloadsquad.swit...ads-before-they-download/

In Firefox heeft het wel altijd zo gewerkt.

Hedva @vharten • 24 oktober 2014 14:26

Over browsers gesproken (en OS'en). Waren alle broswers kwetsbaar dit voor dit of alleen Internet Explorer?
Geldt dit voor alleen Windows of ook Mac (en linux)?
Dit artikel is voor mij een beetje onduidelijk waar het hier precies om gaat. Lijkt me sterk dat letterlijk alles aangevallen kon worden door deze ransomware.

En ik meen me te herinneren dat Chrome zijn eigen ingebouwde flash player had ipv een plugin zoals bij firefox, zou dat nog uitmaken kwa bescherming?

Zoveel vragen

[Reactie gewijzigd door Hedva op 24 juli 2024 23:45]

hotfrost @vharten • 24 oktober 2014 14:18

Gelukkig. Zat al meteen te denken aan een adblock alternatief, zou wel nutteloos zijn als ads nog steeds geladen zouden worden.

dsmeef @JST94 • 24 oktober 2014 14:09

Voor zover ik weet wordt content in een display none object niet zomaar ingeladen. Dus wellicht dat Adblocker snel genoeg is om het element al uit te zetten, waardoor het laden van het component voorkomen wordt

Mijn aanname bleek niet juist (dank ook aan melders hieronder), en zie dat chrome, firefox en ie alle drie de hidden content wel al inladen inderdaad

[Reactie gewijzigd door dsmeef op 24 juli 2024 23:45]

JST94 @dsmeef • 24 oktober 2014 14:11

Hmm, dat is een goede. Mij lijkt het juist dat het word ingeladen, vervolgens word gecontroleerd of het een advertentie is, en vervolgens op verbergen word gezet.

Iemand die hierover meer kan uitleggen?

_David_ @dsmeef • 24 oktober 2014 14:11

Display:none objecten worden ingeladen maar niet weergeven

wildewouter @dsmeef • 24 oktober 2014 14:12

Display none wordt gewoon ingeladen

rene_fb @dsmeef • 24 oktober 2014 17:47

Als ik binnen IE in de F12 Developer Tools kijk, dan zie ik een aantal dingen langskomen (als voorbeeld voor deze pagina):
- verkeer naar http://tweakers.net/...
- verkeer naar http://ic.tweakers.net/...
- verkeer naar http://tweakimg.net/...
allen met status 200, ontvangen data > 0 kb en laadtijden > 1ms.

Verder nog wat verkeer naar verschillende google services en vnumedia, maar die krijgen, als ik TPL inschakel allemaal een status (Afgebroken), 0 B ontvangen en gebruik van < 1ms.

Misschien dat ik nu wat over het hoofd zie, maar alles dat niet van tweakers vandaan komt wordt dus al aan de poort tegengehouden en niet eens geladen, laat staan uitgevoerd.

[Reactie gewijzigd door rene_fb op 24 juli 2024 23:45]

Monsta @dsmeef • 24 oktober 2014 14:36

My two cents mbt mobiele browsers: Display:none laad geen interne én externe 'includes/content' in (zoals iframes, afbeeldingen,etc). Pas wanneer het element zichtbaar wordt gemaakt word de content ingeladen. Je kunt dit herkennen aan de preloader die begint te draaien zodra je een element op display block zet.

dsmeef @Monsta • 24 oktober 2014 14:48

Op basis van de reacties ben ik wat verder gaan kijken ook nog, en kwam ik dit nog tegen:

http://timkadlec.com/2012...sset-downloading-results/

Monsta @dsmeef • 27 oktober 2014 17:26

Nice! Ben nu ook wel benieuwd hoe de zaken er anno 2014 voor staan.

IMarks @JST94 • 24 oktober 2014 14:17

Er zijn verschillende soorten adblockers, bijvoorbeeld de chrome extensie adblock plus (van adblockplus.org) blokkeert advertenties, als je f12 doet (ontwikkelingvenster) dan zie je vaak ook dat er verschillende elementen niet geladen kunnen worden. het is dus per definitie niet zo dat iedere ad blocker alles alleen maar op display: none zet.

JST94 @IMarks • 24 oktober 2014 14:19

Ah oke, ik had het opgezocht op hun website. Daar kwam ik erachter dat ze de DIV's op display: none zetten.

PrismSub7 @JST94 • 24 oktober 2014 14:22

Dat is alleen element hiding, een aparte functie.

jozuf @Hazuki • 24 oktober 2014 14:12

NoScript schakelt JS uit en je kan ook dingen trucen met iFrames om vervolgens bijvoorbeeld een malafide PDF aan te bieden. Als je dan een pdf plugin hebt geinstalleerd en er zit ergens een kwetsbaarheid in of de reader of de plugin heb je een probleem.
Content van iframes worden geladen wanneer ze op display:none staat. Dus uit die redenatie zou ik zeggen; JA.
Maar het ligt allemaal aan hoe het inelkaar is gezet. Je bent iig niet helemaal veilig met die combinatie van tools, ik denk dat het wel wat scheelt aangezien je de attack vectors wat inperkt. Vooral NoScript dan.

[Reactie gewijzigd door jozuf op 24 juli 2024 23:45]

Mithrildor @jozuf • 24 oktober 2014 17:39

Dit is standaard het geval bij NoScript. Echter is het mogelijk om te zorgen dat een untrusted website geen plugins kunnen laden of aanroepen (en dat raad ik ook iedereen aan om te doen):

Open de NoScript opties (klik op het NoScript icoontje en dan "Options"), ga vervolgens naar "Embeddings" en zorg dan dat er vinkjes staan bij "Forbid Java", "Forbid Adobe Flash", "Forbid Microsoft Silverlight" en "Forbid other plugins".

Ik raad ook aan om voor untrusted sites <AUDIO>, <IFRAME> en <FRAME> tags te verbieden. In dit geval is het voor een malafide advertentie (of website) die je niet aan de trusted websites hebt toegevoegd helemaal niet meer mogelijk om een plugin uit te voeren.

Dat is ook het mooie aan NoScript, het doet zoveel meer dan alleen javascript blokkeren, maar het helpt je om zowat iedere attack vector uit te schakelen.

[Reactie gewijzigd door Mithrildor op 24 juli 2024 23:45]

burrfoot @Hazuki • 24 oktober 2014 14:12

Kan dit mij ook raken als ik NoScript en Adblock gebruik, en dus nooit advertenties zie?

Nee, voor het uitvoeren van de exploit moet dus de advertentie geladen en uitgevoerd worden.
In dit geval zou je dus blij zijn met je adblocker / adaway en andere blokkades .

Ntr- @Hazuki • 24 oktober 2014 14:21

Ik gebruik zelf Adblok plus en ghostery met firefox. Ik heb daardoor nooit een virus gehad

HellStorm666 24 oktober 2014 13:59

Okay....
En dan, ik heb een van de sites bezocht, dus kan geinfecteerd zijn.
Hoe check ik dat en hoe los ik dat op??

Anoniem: 621414 @HellStorm666 • 24 oktober 2014 14:03

zie de beschrijving van de genoemde malware in het artikel.

Net als andere ransomware versleutelt CryptoWall bestanden van gebruikers, met de melding dat ze de bestanden pas weer kunnen benaderen tegen betaling. Bovendien worden getroffen gebruikers geconfronteerd met een aftellende klok; bereikt die het nulpunt, dan worden de bestanden van gebruikers permanent gewist.

Als je geïnfecteerd bent zul je dus je bestanden niet meer kunnen benaderen, en wordt een klok getoond, met een melding dat je maar beter snel kan betalen, want anders .....

lolgast @Anoniem: 621414 • 24 oktober 2014 14:37

Als je de klok ziet is het al te laat...

Volgens mij draait CryptoWall 2.0 als explorer.exe svchost.exe. Je zou in je taakbeheer dus een extra svchost.exe moeten zien draaien, maar die heb je bijna altijd al meerdere keren draaien. Daarnaast kun je de volgende locaties controleren op vreemde executables:
%Temp%
C:\<random>\<random>.exe
%AppData%
%LocalAppData%
%ProgramData%
Of in het register:
HKCU\Software\<unique computer id>\<random id>
Voorbeeld: HKCU\Software\03DA0C0D2383CCC2BC8232DD0AAAD117\01133428ABDEEEFF

Edit: draait onder een ander proces

[Reactie gewijzigd door lolgast op 24 juli 2024 23:45]

RocketKoen @HellStorm666 • 24 oktober 2014 14:01

Als je geen aftellende klok hebt die om bitcoins vraagt ben je niet geinfecteerd.
Maar ik zou de genoemde sites vandaag even niet bezoeken.

True @RocketKoen • 24 oktober 2014 14:07

Is al sinds 18 oktober niet meer gedetecteerd.

Rannasha @HellStorm666 • 24 oktober 2014 14:04

Okay....
En dan, ik heb een van de sites bezocht, dus kan geinfecteerd zijn.
Hoe check ik dat en hoe los ik dat op??

Als je besmet bent met een cryptolocker-achtige malware, dan zal die direct aan het versleutelen gaan en je een melding tonen dat je moet betalen. Dus als je niets gemerkt hebt, dan zul je die malware in ieder geval niet opgelopen hebben.

Overigens krijgt lang niet iedere bezoeker dezelfde advertenties te zien, dus de kans dat je de kwaadaardige advertentie hebt gezien is al niet zo groot en dan moet je ook nog de juiste software-configuratie hebben die vatbaar is voor de gebruikte exploits.

Anoniem: 24940 @HellStorm666 • 24 oktober 2014 14:27

GeenStijl geeft net zelf aan nog geen bevestiging te hebben gehad. Dus het is nog maar de vraag in hoeverre het bij hun speelt.
http://www.geenstijl.nl/m...itale_ebola_des_dood.html

firest0rm @HellStorm666 • 24 oktober 2014 14:02

je moet eerst het een en ander downloaden en een zip bestand openen voordat je geinfecteerd raakt met cryptolocker dus je bent pas geinfecteerd als je op die advertenties klikt en het bestand opent

[Reactie gewijzigd door firest0rm op 24 juli 2024 23:45]

Thrace Grumble @firest0rm • 24 oktober 2014 14:04

Gebruikers kunnen zijn geïnfecteerd zonder dat ze ergens op hebben geklikt; daartoe gebruikten de aanvallers een exploit kit.

HellStorm666 @firest0rm • 24 oktober 2014 14:04

Volgens het artikel kan het ook als ik nergens op geklikt heb:

Gebruikers kunnen zijn geïnfecteerd zonder dat ze ergens op hebben geklikt; daartoe gebruikten de aanvallers een exploit kit. Die probeert om middels beveiligingsproblemen in software om malware te installeren. De aanvallers vermomden hun malvertisements als legitieme advertenties van bestaande merken als Microsoft Bing en Fancy.

firest0rm @HellStorm666 • 24 oktober 2014 14:06

ik zie het over heen gelezen dumpert dus maar even niet bezoeken

RemiR @firest0rm • 24 oktober 2014 14:12

Drive-by infectie noemen ze dat... http://blogs.mcafee.com/consumer/drive-by-download
De infectie gebeurd normaliter via verouderde plugins, of een andere vorm van exploits in de browser. Wanneer je machine helemaal up-to-date is, incl, de diverse adobe plugins, java, etc, dan ben je al redelijk safe.

WaRSTeaM @firest0rm • 24 oktober 2014 14:06

Uhmm learn to read?
Gebruikers kunnen zijn geïnfecteerd zonder dat ze ergens op hebben geklikt; daartoe gebruikten de aanvallers een exploit kit.

spaceboy 24 oktober 2014 14:00

Maar, vertel ff verder... je klikt op zo'n link? En dan? Download hij dan een zip met een exe-file? Of ben je dan gelijk al de lul als je browser outdated is ofzo?

Voor tweakers.net mag hier wel iets meer inside info bij. Het is geen nu.nl hier...

Evilslayer @spaceboy • 24 oktober 2014 14:09

Je browser zal de advertentie inladen en vanaf dan kan er code op jouw systeem uitgevoerd worden. Je bent dus meteen gezien van het moment je klikt op een pagina waar een malware advertentie op aanwezig is.

Een interessant filmpje om te bekijken ivm de mogelijkheden rond malware op advertentienetwerken vind je hier : https://www.youtube.com/watch?v=ERJmkLxGRC0

Alexxxxxxxxxx @spaceboy • 24 oktober 2014 15:06

Gebruikers kunnen zijn geïnfecteerd zonder dat ze ergens op hebben geklikt; daartoe gebruikten de aanvallers een exploit kit. Die probeert om middels beveiligingsproblemen in software om malware te installeren.

True @spaceboy • 24 oktober 2014 14:08

No offence, maar als tweaker lees ik zelf het artikel ook maar even door. Tweakers kan het wel in hap klare brokjes voor je leggen, maar het is hier toch geen nu.nl ?

moozzuzz @True • 24 oktober 2014 15:10

Zijn punt is dat het helemaal geen hapklare brok is. Een link naar de bron was wellicht even informatief als de brok tekst die er nu staat...

Dat gezegd zijnde heb ik soms het gevoel dat dit een poging is van T.net om discussies uit te lokken en zodoende voldoende views en reacties te genereren voor de adverteerders.

Paulus07 24 oktober 2014 13:59

en als je een ad-blocker gebruikt? of maakt dat in dit soort gevallen niks uit?

rickboy333 @Paulus07 • 24 oktober 2014 14:03

en als je een ad-blocker gebruikt? of maakt dat in dit soort gevallen niks uit?

Staat er redelijk duidelijk in

Gebruikers kunnen zijn geïnfecteerd zonder dat ze ergens op hebben geklikt; daartoe gebruikten de aanvallers een exploit kit. Die probeert om middels beveiligingsproblemen in software om malware te installeren. De aanvallers vermomden hun malvertisements als legitieme advertenties van bestaande merken als Microsoft Bing en Fancy.

Dus ook al gebruik je adblock dan nog kan je geïnfecteerd raken aangezien de advertenties wel laden. Ik weet niet helemaal precies hoe ghostery enzo wekt, Maar zolang de advertentie (en het script) laad loop je risico.

[Reactie gewijzigd door rickboy333 op 24 juli 2024 23:45]

vosManz @rickboy333 • 24 oktober 2014 14:41

Daarom gebruik ik een 'adblocker' die via de hosts-file van Windows alles blokkeert.. Het programma hostman kan dat bijvoorbeeld voor je automatiseren, maar je kan ook handmatig de hosts file aanpassen.

Daarmee voorkom je dat de advertenties gedownload worden. Tevens werkt het dan op je hele systeem, dus ook in andere programma's dan de browser. En je hebt in je browser geen extra plug-in nodig

Volgens mij zijn er ook oplossingen om dit in bepaalde routers toe te passen, zodat het op alle computers werkt (en ook smartphone/tablet via wifi), maar daar heb ik zelf geen ervaring mee.

Anoniem: 463321 @vosManz • 24 oktober 2014 17:08

Werkt dat niet enorm vertragend, zo'n enorm grote hosts-file met allemaal adressen die geblockt moeten worden?

Kalief @Anoniem: 463321 • 24 oktober 2014 17:47

Nee. Zelfs als je hosts erg vol zit bijvoorbeeld mbv Bluetack dan nog is-ie zo'n 500k in je RAM.

Jofairden @rickboy333 • 24 oktober 2014 14:27

Als het goed is zorgt AdBlock er juist voor dat de advertentie helemaal niet eens wordt gedownload, dus kun je dan ook niet worden geïnfecteerd.

Paulus07 @rickboy333 • 24 oktober 2014 14:26

ah k thx

wist dat die adblockers niet echt de advertenties weggooien

BramV 24 oktober 2014 15:05

Waarom kunnen website's die content presenteren niet verantwoordelijk gesteld. Ze kunnen wel quasi doorverwijzen net als de verantwoordelijkheid maar er staat toch maar 1 header boven in mijn URL. Ik kan nooit direct zien waar de data vandaan komt en moet dan ook maar aannemen, tenzij er duidelijk een link staat ofzo dat de data vanaf dat domain komt. We hoeven er maar op te wachten dat bijv dat een grote Nederlandse site weer malware verspreid. Ik vind dat die nu eens verantwoording moeten nemen. Wel de lusten niet de lasten.

Keipi @BramV • 24 oktober 2014 15:15

Hier ben ik het ook mee eens. Meer transparantie over de gebruikte adnetwerken zou fijn zijn.

Als jij advertenties op je website lijkt het mij ook jouw verantwoordelijkheid om te zorgen dat deze netwerken veilig zijn.

Rob @Keipi • 24 oktober 2014 15:27

Oneens, maar advertentienetwerken moeten wel goed doorgelicht worden.

Je moet als websitebeheerder er voor de volledige 100% van uit kunnen gaan dat de advertenties die het netwerk serveert veilig zijn en dat elke geserveerde advertentie gecheckt is door het netwerk.

Anoniem: 629314 @Rob • 24 oktober 2014 18:16

Nee, zo werkt het niet. Jouw website, jouw verantwoordelijkheid. Dan moet je maar gewoon geen advertentienetwerken gebruiken als je niet aangeklaagd wil worden.

Rob @Anoniem: 629314 • 24 oktober 2014 22:13

Dat klinkt heel erg als : moet je maar niet gaan autorijden als je geen botsing wil hebben.

Websites moeten geld kunnen verdienen. Zonder geld kunnen ze niet bestaan. Dan is het gebruik maken van een advertentienetwerk bijna altijd noodzakelijk.

Anoniem: 629314 @Rob • 24 oktober 2014 22:18

Dat is toch ook zo? In het verkeer kun je ongevallen wel reduceren, maar niet totaal voorkomen. Als je dus autorijdt neem je het risico (wat er altijd is) voor lief. Websites hoeven echt geen geld te verdienen. Sterker nog, verreweg de meeste websites verdienen helemaal geen geld. Nada, noppes. Die advertentienetwerken, dat is echt iets van de laatste aantal jaren. Het internet kan prima zonder advertenties, men wil gewoon niet. Het klinkt dus meer als: ja wij verspreiden soms ongewild malware, maar onze winst is voor ons belangrijker dan de veiligheid van onze bezoekers. Want dat is in feite waar het op neerkomt.

Rob @Anoniem: 629314 • 24 oktober 2014 22:47

Het internet kan zonder advertenties? Ga jij eens 1 dag websites bezoeken die geen advertenties hebben.

En de opmerking: websites hoeven echt geen geld te verdienen..... dat neem je zelf toch niet serieus?

Anoniem: 629314 @Rob • 25 oktober 2014 09:19

Ik neem het wel serieus. Ik bezoek al websites die geen advertenties hebben. Dat jij je dat niet voor kan stellen is jouw probleem.

Nieuws: democracynow.org, decorrespondent.nl
Sociale media: 4chan.org
Muziek: rdio premium
En nog wat torrent websites die besloten zijn zonder reclame.

Verder gebruik ik gewoon adblock. Een internet zonder advertenties werkt prima voor mij.

Besef je ook:
* Advertentienetwerken hebben lang niet altijd bestaan
* De drempel om een website te beginnen en dan gewoon advertentie inkomsten binnen te hoereren is ontzettend laag, elke klown kan een website beginnen.
* Er zijn tal van websites die helemaal niks toevoegen aan het internet maar gewoon andere dingen kopieren en het op pagina's zetten van "10 beste dit", "20 beste dat". En dan elk item op de ranglijst op een andere pagina zetten zodat ze extra veel clicks binnen krijgen.

Nogmaals, het is gewoon PRIMA mogelijk, maar men wil gewoon niet (meer terug).

Anoniem: 463321 @Rob • 24 oktober 2014 18:20

Klopt voor de websitebeheerder maar voor mij als eindgebruiker hoeft het niet transparant te zijn. De site die ik bezoek levert alle content en waar het vandaan komt boeit mij in feite niet. Het is daarom ook dat ik het eens ben met BramV die zegt dat de websites zelf verantwoordelijk moeten worden gesteld. Zij zorgen er voor dat ik advertenties op mij afgevuurd krijg als ik hun site bezoek dus moeten zij ook de verantwoordelijkheid nemen als er iets mis gaat.

Rob @Anoniem: 463321 • 24 oktober 2014 22:21

Dat kan ook de andere kant op gaan:
Jij bezoekt mijn site, dat jij het met verouderde software doet, boeit mij in feite niet. Jij bezoekt mijn site en zorgt dat je de advertenties op je afgevuurd krijgt en jij moet dus ook verantwoordelijkheid nemen als je computer geinfecteerd wordt omdat je software vol met gaten zit.

Welke van de 3 partijen weet het beste welke advertenties er geserveerd worden en serveert deze ook daadwerkelijk en is dus ook verantwoordelijk?
- De websitebezoeker
- De eigenaar van de website
- Het advertentienetwek
?

Je kunt een huisvrouwtje met een kantkloswebsite met een paar banners die de buurjongen op haar site heeft geplaatst, toch niet verantwoordelijk stellen dat jouw computer ten prooi is gevallen?

martijnm71 24 oktober 2014 14:36

Is zoiets eigenlijk nog afhankelijk van OS?

Dus is OSX of Linux ook kwetsbaar voor dit soort geintjes of is (vooral) op Windowsgebruikers gericht?

Headshifter @martijnm71 • 24 oktober 2014 14:40

Ik denk dat als jij je RWX goed heb staan het vrij weinig kwaad kan op Linux. (Tenzij je natuurlijk zelf weer bepaalde rechten geeft).

martijnm71 @Headshifter • 24 oktober 2014 14:42

Heb zowel OSX als Linux draaien, ben van Windows naar OSX gegaan om dit soort geintjes te voorkomen, vandaar die vraag.

Op Linux heb ik (hopelijk) inderdaad RWX goed staan

Anoniem: 628318 24 oktober 2014 15:23

Tja what can i say? Dit alleen al is al reden genoeg om standaard een adblock te draaien, laat staan omdat ads vaak ook nog eens overbodig irritant zijn of je scherm binnen komen rollen als je je muis erop houdt (ook op tweakers!)

En ik snap niet waarom middelgrote tot grote websites niet zelf de ads kunnen controleren en dus niet de ads extern inladen. Nou ja, ik snap het wel het kost natuurlijk wat geld maar dat dit soort websites dat niet doen geeft aan dat ze geen respect hebben voor de bezoeker maar wel leuk vragen of alsjeblieft de adblock uit mag

respect moet van twee kanten komen toch?

Rob @Anoniem: 628318 • 24 oktober 2014 22:26

Waarom grote websites hun banners niet zelf doen? Simpel!

Stel: jij hebt een mooi stuk software ontwikkelt en jij wil op een aantal IT sites reclame gaan maken.
Je kunt dan contact opnemen met Tweakers. Je maakt afspraken voor een banner. Dan doe je dat ook met Webwereld, TZ en Hardware.info. Dat kost jou een dag.
Of je gaat naar een bannerboer en zegt: ik heb deze banner, die moet op alle IT sites geplaatst worden. Kwartier verder en je banner draait op tientallen websites.

Anoniem: 628318 @Rob • 25 oktober 2014 09:08

Snapte de reden erachter, maar doelde meer met het oog op veiligheid. Er zijn laatste tijd hier al zoveel berichten over geweest, en ik weiger adblock uit te zetten als een website extern ads inlaad.

Jacketti 24 oktober 2014 13:59

en daarom blokkeer je advertenties

JST94 @Jacketti • 24 oktober 2014 14:07

Adblocker blokkeert de advertenties niet, het gaat door middel van 'Element hiding', oftwel: Broncode aanpassen en onzichtbaar maken voor de gebruiker.

Advertenties staan er wel, maar worden niet getoond. Zie hun website

vali @JST94 • 24 oktober 2014 14:15

Daarom maak ik gebruik van addons zoals delad, die blockeerd ze namelijk en zorgt dat ze niet worden gedownload. Daarnaast kan je daar zeer gemakkelijk extra blockregels toepassen (zoals malwaredomains, socialtracking ect ect.).

[Reactie gewijzigd door vali op 24 juli 2024 23:45]

anzaya @vali • 24 oktober 2014 14:46

Is helaas alleen voor Internet Explorer, niet voor andere browsers..

vali @anzaya • 24 oktober 2014 15:01

Zijn er geen betaalde adblockers te vinden voor firefox en/of Chrome? Zelf ben ik niet zo happig om gratis geboden diensten zoals adblockplus en ghostery. Die hebben in het verleden een zak geld gekregen van bedrijven zoals Google om bepaalde advertenties wel te tonen.

Daarnaast is het maar de vraag wat er met je prive gegevens gebeurd. Mochten ze het financieel wat slechter krijgen is het maar de vraag hoe netjes ze daar mee om gaan.

[Reactie gewijzigd door vali op 24 juli 2024 23:45]

Mermer @vali • 24 oktober 2014 15:10

Voor Ghostery valt dat wel mee hoor: https://www.ghostery.com/nl/how-we-make-money

wildewouter @JST94 • 24 oktober 2014 14:12

Ghostery blokkeert daadwerkelijk het inladen van advertenties.

JAVE @JST94 • 24 oktober 2014 14:21

Volgens mij wordt een geblockte ad niet geladen, en wordt het element waar de ad in zou hebben gestaan gehide (om grote witte blokken te voorkomen). (Ziehttps://adblockplus.org/en/faq_internal#policies)

Paffelton @JST94 • 24 oktober 2014 14:19

Ik lees dit niet terug in het artikel, maar ik ga er van uit dat je pas geïnfecteerd raakt als je op de nep advertentie klikt. Het verstoppen van de advertentie heeft dus wel degelijk nut.

Overheen gelezen

"Gebruikers kunnen zijn geïnfecteerd zonder dat ze ergens op hebben geklikt; daartoe gebruikten de aanvallers een exploit kit. Die probeert om middels beveiligingsproblemen in software om malware te installeren. De aanvallers vermomden hun malvertisements als legitieme advertenties van bestaande merken als Microsoft Bing en Fancy."

[Reactie gewijzigd door Paffelton op 24 juli 2024 23:45]

JST94 @Paffelton • 24 oktober 2014 14:20

Lees het artikel, laatste alinea:

Gebruikers kunnen zijn geïnfecteerd zonder dat ze ergens op hebben geklikt; daartoe gebruikten de aanvallers een exploit kit. Die probeert om middels beveiligingsproblemen in software om malware te installeren. De aanvallers vermomden hun malvertisements als legitieme advertenties van bestaande merken als Microsoft Bing en Fancy.

Anoniem: 126717 @Jacketti • 24 oktober 2014 14:25

en daarom blokkeer je advertenties

En daarom draai ik mijn browser in een sandbox. Als het goed is kan hij dan nergens bij. (Hoop ik.)

Armin

Netwerk en systeembeheer

@Anoniem: 126717 • 24 oktober 2014 18:42

Je krijgt 0-sterren, maar je reactie is spot-on.

Immers de crypto locker is de 3e stap in de besmettingsketen. Een javascript (stap 1) dat meestal een gemodificeerd PDF, Flash of Java applet gebruikt om een lek te gebruiken (stap 2). Denk aan een buffer-overrun of use-after free, etc. Hierdoor kan dan de echte malware gedownload worden (stap 3).

Addblockers werken doorgaans goed om de eerste stap tegen te gaan. Andere zaken zijn no-script of addons uitzetten (Java, Flash en PDF plugins uitzetten is meestal genoeg om 99+% van alle malware tegen te gaan). Je voorkomt daarmee dat de zaak geladen wordt.

Zaken als EMET of IE 64bit mode (optie in advanced settings) stoppen bij de 2e fase. De exploit faalt, en kan dus de malware niet downloaden.

De sandbox is om de 3e stap tegen te gaan. Dat kan een aparte tool zijn, maar ook enhanced protected mode van IE doet iets soortgelijks. De malware kan dan niet bij je bestanden en dus niets versleutelen. Zodra je je browser afsluit is de malware dan onschadelijk.

Anti-virus kan zowel op stap 1 (blokkeren javascript), stap 2 (herkennen van specifiek gemodificeerde PDF, Java applet, etc) of stap 3 (malware zelf) bescherming bieden.

In principe hoeft maar op een plaats in de keten de zaak gestopt te worden en je bent veilig.

Wat dit artikel niet zegt is hoe de eerste stappen van de exploit plaatsvonden. Java, Flash, PDF, etc?

Op dit item kan niet meer gereageerd worden.

'Dumpert, 9gag en Yahoo verspreidden malware' - update

Lees meer

IT-banen

Reacties (243)

Sorteer op:

Weergave: