Telegraaf.nl verspreidt malware via Java-lek
Op de website van de Telegraaf hebben aanvallers kwaadaardige code geplaatst om de computers van bezoekers met een kwetsbare Java-versie te infecteren, zo laat de Waarschuwingsdienst weten. Via de aanval wordt een nep-virusscanner genaamd Live Security Platinum geïnstalleerd. Dit is een bekende vorm van scareware die slachtoffers laat geloven dat hun computer met malware is besmet. Voor het verwijderen van de malware moeten slachtoffers het programma activeren, waarvoor moet worden betaald.
Volgens de Waarschuwingsdienst is er momenteel nog geen oplossing bekend voor deze aanval. Woordvoerster Mary-Jo van de Velde laat tegenover Security.nl weten dat de aanvallers een extern bedrijf hackten dat de nieuwsbriefregistratie voor De Telegraaf verzorgt. De aanval werd in het begin van de middag bij het Nationaal Cyber Security Center (NCSC), dat ook de Waarschuwingsdienst verzorgt, bekend.
Exploit
De aanmeldlink voor de nieuwsbrief staat op de frontpage van De Telegraaf, maar bezoekers moesten eerst op de link klikken voordat het scherm met de kwaadaardige code werd getoond. Vervolgens werd via het aanmeldscherm een Java-exploit geladen die bezoekers met een verouderde Java 7-versie infecteerde, aldus de woordvoerster.
Het gaat om dezelfde exploit die eerder ook bij OmroepWest werd gebruikt. De Telegraaf heeft de gewraakte link inmiddels verwijderd.
Het bedrijf dat de nieuwsbriefregistraties verwerkt doet dit ook voor andere partijen. Daardoor bestaat het risico dat ook andere sites door de aanvallers zijn getroffen. In het geval van de Telegraaf zou het om de aanmelding op de Telesport nieuwsbrief gaan.
Update 16:31
Mark Loman van het Nederlandse anti-virusbedrijf SurfRight laat Security.nl weten dat de eerste infecties vanochtend al bij het bedrijf binnenkwamen. Loman bevestigt dat de aanvallers inderdaad via CVE-2012-4681 binnenkwamen. Afgelopen vrijdag kwam Oracle met een noodpatch voor dit lek. Wat betreft de verspreidde malware zou het voor zover bekend alleen om scareware gaan.
Het iframe in het aanmeldvenster stuurde bezoekers door naar ambareiki.com/counter.php "Vervolgens werd er verwezen naar verschillende sites, waaronder ladysarah-ecrivain.com en extremehealthmakeovers.com, die de daadwerkelijke exploit en malware hosten", aldus Loman.
Mogelijk zouden de aanvallers naast de Java-exploit ook een PDF-exploit voor een lek in Adobe Reader hebben gebruikt.
Update 16:48
SurfRight heeft sinds de eerste infecties 140 slachtoffers gezien. Daarbij gebruiken de aanvallers nu ook het domein moneymakingphones.com. De kwaadaardige links worden inmiddels ook in de X-serie 2 routers van Sitecom geblokkeerd. Live Security Platinum is via deze manier te verwijderen.
Update 16:58
"Sinds 16:00 uur zijn de links naar de malware verwijderd van de website van de Telegraaf. De website kan dus weer veilig bezocht worden", aldus een update van de Waarschuwingsdienst.
Update 17:16
"Het kan niet zo zijn dat bezoekers van onze site die naar derden worden gestuurd worden geconfronteerd met malware", stelt Jan-Kees Emmer adjunct-hoofdredacteur van De Telegraaf. "Zelfs nu het betrokken bedrijf de link naar de malware heeft verwijderd, hebben we de relatie nog niet hersteld. Dat kan pas als duidelijk is hoe dit heeft kunnen gebeuren."
Update 17:37
4 van de 42 virusscanners op VirusTotal herkennen de nep-virusscanner. Bij de downloader slaan van 5 van de 42 virusscanners alarm.
ik ben blij dat microsoft dit virus herkent en hopelijk ook verwijdert. ik heb vorige week java van mijn machine verwijderd. maar het is wachten op een nieuwe aanval.
En nee, ik heb nog nooit ( gevonden ) malware gehad. Maargoed, anders pakt mijn firewall hem wel op.
imiddels een oplossing aan het zoeken in me veilige modus hahaha ...
me virus scanner sloeg alarm toen de virus er al op zat en aan het scannen was.
dus helaas geen pluim voor mijn betaalde beveiliging
dat ligt Compleet aan je zelf. niet aan noscript. ik doe 1 gok, je ben nogal lui ingesteld?
En nee, ik heb nog nooit ( gevonden ) malware gehad. Maargoed, anders pakt mijn firewall hem wel op.
kijk nog 1. leuk dat schijveiligheid spotten.
dat ligt Compleet aan je zelf. niet aan noscript. ik doe 1 gok, je ben nogal lui ingesteld?
Ja, toevallig ben ik inderdaad nogal lui ingesteld. Is het kenmerk van een goede beheerder: nooit handmatig doen wat je ook kunt automatiseren, altijd documenteren zodat je het niet steeds hoeft te vertellen, en liever 1 keer een dagje werken aan een automatisch oplossing dan 3 keer opgepiept worden.
Daarnaast ben ik vooral ook een praktisch mens. Veilig is prima, maar het moet wel leefbaar blijven. Ik heb ABP, Ghostery en ik heb in FF de autorun uitgezet (en vervolgens voor bepaalde sites weer aangezet). Ik ben niet te beroerd om iets als NoScript te proberen en heb dat recent dus ook gedaan. Vervolgens loop ik er tegenaan dat 90% van de sites die ik bezoek niet meer (geheel) werken. Vervolgens mag ik zien uit te vogelen welke van de 5 dingen, of combinatie daarvan, ik weer aan zou moeten zetten om de boel weer werkend te krijgen.
Mijn conclusie is dan ook dat ik liever het risico op een malware infectie loop. Ik vind dat ik voldoende gedaan heb om m'n PC te beschermen, en als dat onvoldoende is, jammer dan. Net zoals ik ook geen 10 sloten op de voordeur zet en het zal accepteren wanneer er ooit ingebroken wordt.
100% veiligheid is een illusie, op de PC en in het echt leven.
Vanaf het moment dat het werd ingesteld heb ik het rating-systeem op Security.nl een slecht systeem gevonden.
Het systeem zou gebruikt kunnen worden om bijdragen die een duidelijke informatieve waarde bieden een positieve rating te kunnen geven, en om bijdragen met feitelijke onjuistheden, onaangenaam gedrag, of volslagen irrelevante reacties een negatieve rating te kunnen geven. Maar in plaats daarvan wordt het rating-systeem veelal gebruikt om domweg te zeggen "ik ben het niet met je eens".
Hierboven bijvoorbeeld, geven enkele gebruikers aan dat NoScript ze niet beviel, dat ze het te moeilijk vonden in het gebruik. Dat laat zien dat NoScript niet voor iedereen even goed bruikbaar is. Die bijdragen kun je beschouwen als licht informatieve bijdragen, gebaseerd op persoonlijke - en dus per definitie subjectieve - ervaringen. Gezien de subjectiviteit is het niet als onjuist te beschouwen. Waarom dan toch een negatieve rating? Volgens mij alleen maar om aan te geven dat die raters wél blij zijn met NoScipt (en bijna verontwaardigd lijken dat iemand anders een daarvan afwijkende mening heeft). Prima, geef dat dan aan met een eigen reactie, als je dat nodig vindt, maar daarvoor dient niet die rating.
Sorry hoor, maar zoals je kunt lezen ergert het rating-gedrag me nog regelmatig.
Ik probeer het te negeren, maar dat lukt me niet altijd.
Die rode minnetjes knallen immers zo in het oog, hè.
Het begint steeds allemaal bij de telegraaf :o)
Deze verwijst naar:
ambareiki . com/counter.php (193.202.110.176)
Deze verwijst over de loop van de dag naar verschillende pagina's:
2012-09-06 07:12
athletictapeinfo . com/12965183.html (66.7.201.56) (plugin detectie script)
athletictapeinfo . com/33256.jar (66.7.201.56) (java exploit)
athletictapeinfo . com/88770.jar (66.7.201.56)
2012-09-06 10:32
crystal-matrix . eu/18625183.html (207.45.178.74)
crystal-matrix . eu/33256.jar (207.45.178.74)
crystal-matrix . eu/88770.jar (207.45.178.74)
crystal-matrix . eu/Ini.class (207.45.178.74)
crystal-matrix . eu/Ini/class.class (207.45.178.74)
2012-09-06 12:08
almogador . net/92475183.html (207.45.178.74)
almogador . net/88770.jar (207.45.178.74)
almogador . net/33256.jar (207.45.178.74)
almogador . net/Ini.class (207.45.178.74)
almogador . net/Ini/class.class (207.45.178.74)
2012-09-06 13:19
freebiezone . info/41915183.html (184.95.59.66)
- freebiezone . info/88770.jar (184.95.59.66)
- freebiezone . info/33256.jar (184.95.59.66)
- freebiezone . info/Ini.class (184.95.59.66)
- freebiezone . info/Ini/class.class (184.95.59.66)
2012-09-06 14:19
ladysarah-ecrivain . com/83475183.html (217.147.201.221)
- ladysarah-ecrivain . com/88770.jar (217.147.201.221)
- ladysarah-ecrivain . com/33256.jar (217.147.201.221)
- ladysarah-ecrivain . com/Ini.class (217.147.201.221)
- ladysarah-ecrivain . com/Ini/class.class (217.147.201.221)
Wat beter helpt is in Windows naast het administrator account ook een normaal gebruikers account toe te voegen. Er is voor normale taken goed mee te werken. Natuurlijk geeft ook dat geen 100% bescherming. De schade wordt meestal wel beperkt.
Verder updaten en overbodige software verwijderen.
Graag wat bewijs van je of roept je maar weer wat dus graag wat bewijs dat ik met mijn Ubuntu 12.04.1 LTS ook kwetsbaar voor dit verhaal ben.
Maar ik help je alvast --- Via de aanval wordt een nep-virusscanner genaamd Live Security Platinum geïnstalleerd.
Onmogelijk dus in mijn geval.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.