Nieuws
image

68% malware op legitieme websites aangetroffen

vrijdag 6 juni 2008, 12:31 door Redactie, 9 reacties

Meer dan de helft van alle malware die in omloop is wordt aangetroffen op legitieme websites. Inmiddels bevindt 68% van alle webmalware zich op gehackte websites, een stijging van 400% ten opzichte van vorig jaar. Aanvallers weten voornamelijk via SQL-injectie toegang tot de sites te krijgen, waarna ze via iframes en JavaScript bezoekers met malware proberen te infecteren.

In de meeste gevallen gaat het om backdoors en wachtwoordstelers, een categorie die sinds mei 2007 met 855% steeg. De hoeveelheid malware waar internetgebruikers mee te maken krijgen is de afgelopen maanden met 220% toegenomen.

"Het afgelopen jaar zijn virusschrijvers overgestapt van directe aanvallen, waarbij er met het slachtoffer werd gecommuniceerd, via social engineering bijvoorbeeld, naar indirecte aanvallen via gehackte websites. Deze aanvallen gebruiken niet alleen onzichtbare technieken, maar ze vinden plaats op bekende sites die consumenten vertrouwen. Het resultaat is dat je niet kunt aannemen dat bekende sites ook veilige sites zijn," aldus beveiligingsonderzoeker Mary Landesman.

Reacties (9)
06-06-2008, 12:34 door Anoniem
Remedie: surf met lage rechten.
06-06-2008, 12:53 door Anoniem
Wat is een legitieme website ?
08-06-2008, 23:09 door Bitwiper
Door Anoniem
Wat is een legitieme website ?
Wat dacht je van de volgende Nederlandstalige sites die zojuist nog besmet waren. LET OP: ik zou er niet heen gaan met een ongepatchte browser!
[list][*]http://www.sgr.nl/ (Stichting Garantiefonds Reisgelden) - o.a. de title verwijst naar http://www.adw95.com/b.js
[*]http://www.komo.nl/ - in title http://www.err68.com/b.js
[*]http://www.vtkeur.nl/ - idem
[*]http://www.installerendnederland.nl/ - in subframes (achter kopje 'Beveiliging'!) verwijzingen naar http://www.tag58.com/b.js en http://www.rundll841.com/b.js
[*]http://www.atletiekwereld.nl/ - in subframes verwijzingen naar http://www.dota11.cn/m.js
[*]http://www.roddelnieuws.nl/ - verwijst naar zowel http://www.sslnet72.com/b.js als http://www.exe94.com/b.js
[*]http://www.theologischeuniversiteitkampen.nl/ - verwijzingen naar http://www.killpp.cn/k.js
[*]http://www.postduif.nl/ - verwijst naar http://www.nihao112.com/m.js[/list]
Verder zijn een stel domeinnamen beschikbaar op een site die ge-inject is, waardoor je malware kunt oplopen op de volgende sites: http://www.vlinders.nl/, http://www.chirurgen.nl/, http://www.lekkererecepten.nl/ en http://www.computersupplies.nl/.

Het lijkt er op dat het in een enkel geval gelukt is om een intacte URL op Marktplaats te injecten, zie (alleen met een veilige browser!) [url=http://64.233.183.104/search?q=cache:XT-lutn81wAJ:auto.marktplaats.nl/fiat/170794497-fiat-panda-1000-skyline-script-src-http-www-sslnet72-com.html+site:marktplaats.nl+sslnet72&hl=en&ct=clnk&cd=1]deze Google cache page van 5 juni[/url], of (ongevaarlijk) bekijk [url=http://www.google.com/search?hl=en&q=site%3Amarktplaats.nl+sslnet72&btnG=Google+Search]deze Google zoekopdracht[/url].

Enkele sites die recentelijk besmet waren, zowel de sites zelf als de Google search pages hieronder zijn safe, maar kijk uit met het bezoeken van Google cached pages:
[list][*][url=http://www.iglo.nl/]http://www.iglo.nl/[/url] - zie [url=http://www.google.com/search?hl=en&q=iglo+rexec39&btnG=Google+Search]Google search[/url]
[*][url=http://www.knsb.nl/]http://www.knsb.nl/[/url] - zie [url=http://www.google.com/search?hl=en&q=knsb+adw95&btnG=Google+Search]Google search[/url]
[*]http://www.procase.nl/ (Google waarschuwt voor deze site) zie [url=http://www.google.com/search?hl=en&q=site%3Aprocase.nl+kisswow&btnG=Google+Search]Google search[/url]
[*][url=http://www.twice.nl/]http://www.twice.nl/[/url] - een opleider, o.a. security, vooral deze page is leuk (en nu safe): [url=http://www.twice.nl/content/nieuws/ethicalhacker.asp]Hackers are here. Where are you?[/url]... Zie [url=http://www.google.com/search?hl=en&q=site%3Atwice.nl+src%3Dhttp+kisswow&btnG=Google+Search]Google search[/url]
[*][url=http://www.learnit.nl/]http://www.learnit.nl/[/url] - ook hier kun je cursussen doen (waaronder CompTIA), zie [url=http://www.google.com/search?hl=en&q=site%3Alearnit.nl+logid83&btnG=Google+Search]Google search[/url]
[*]Diverse Kluwer websites (www.kluwersalarisadministratie.nl, sigmabase.kluwermanagement.nl, www.kluwer.be), zie [url=http://www.google.com/search?hl=en&q=kluwer+adw95+site%3Anl+OR+site%3Abe&btnG=Google+Search]Google search[/url][/list]
09-06-2008, 10:52 door spatieman
waarom probeert security.nl ebuddy te staleren ?? *g*
09-06-2008, 14:40 door Bitwiper
Door spatieman
waarom probeert security.nl ebuddy te staleren ?? *g*
Ik neem aan dat je 'installeren' bedoelt.
Is de bron volgens jou security.nl of heb je een van de besmette sites bezocht die ik hierboven noem, en zo ja, welke?
12-07-2008, 19:25 door Anoniem
Als betrokkene bij postduif.nl, vlinders.nl ,chirurgen.nl,
lekkererecepten.nl en computersupplies.nl kan ik meedelen
dat de infecties zijn verwijderd. Het is overigens bijzonder
dat het al op deze site vermeld stond voordat het bijons
bekend was. De gebruikte methode door de ‘Injectors’ is
trouwens simpel, maar o zo effectief. Het is alles behalve
eenvoudig site’s hier tegen voor 100% te wapenen. De door MS
voorgestelde methodes zijn alles behalve simpel te
implementeren. Persoonlijk verwacht ik dat er nog veel meer
ellende te wachten staat, nu muteren ze records, verwijderen
was net zo simpel…
12-07-2008, 19:27 door Anoniem
o ja, en gebruik firefox met noscript... da's wel zo veilig.
MS browers vinden het allemaal prima
18-07-2008, 08:37 door Anoniem
urlscan 3 instaleren van MS helpt al veel
21-07-2008, 09:20 door Anoniem
Door Anoniem
urlscan 3 instaleren van MS helpt al veel
mooi niet, die laat het gewoon gebeuren. Je zult echt zelf
de script moeten aanpassen
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search