image

Gevaarlijke malware verspreid via NU.nl

donderdag 6 juni 2013, 17:04 door Redactie, 30 reacties

Een onbekend aantal bezoekers van NU.nl is gisteren door gevaarlijke malware besmet geraakt nadat de website een halve dag lang besmette advertenties toonde. Dat ontdekte het Delftse beveiligingsbedrijf Fox-IT. Volgens de beveiliger werden gisteren tussen 10:42 en 15:34 uur kwaadaardige advertenties getoond die onder andere misbruik van een beveiligingslek in Java maakten.

De advertenties stuurden bezoekers door naar een website waar een exemplaar van de Sweet Orange Exploit Kit draaide. Dit is een programma waarmee cybercriminelen internetgebruikers kunnen infecteren die ongepatchte software gebruiken. De Sweet Orange Exploit Kit zou beveiligingslekken in Java, Adobe Reader, Internet Explorer en Firefox misbruiken, aldus beveiligingsbedrijf Bluecoat.

Bezoekers die niet over een recente versie van in ieder geval Java beschikten en de advertenties op de nieuwssite te zien kregen, werden geïnfecteerd door een nieuwe versie van de Zeus banking Trojan. Een Trojaans paard speciaal gemaakt voor het stelen van geld van online bankrekeningen.

De malware werd op het moment van de infectie door slechts twee virusscanners opgemerkt: Kaspersky Lab en Malwarebytes.

Advertentie
"De infectie werd verspreid via advertenties. De oorzaak is een advertentieserver die op NU.nl adverteerde. De software om advertenties te tonen was waarschijnlijk gecompromitteerd", zegt Joost Bijl van Fox-IT. Wie gisteren NU.nl heeft bezocht krijgt het advies om de computer op malware te controleren.

"De malware laat bestanden achter in de “Application Data” folder die worden opgestart bij het aanzetten van de computer. Controleer of er onbekende programma’s worden opgestart", adviseert Bijl. Deze week werd bekend dat 93% van de internetgebruikers die Java heeft geïnstalleerd een onveilige versie gebruikt.

Het is niet de eerste keer dat er malware via NU.nl wordt verspreid. Vorig jaar raakten bezoekers besmet met de gevaarlijke Sinowal banking Trojan. Toen wisten aanvallers de inloggegevens van het Content Management Systeem (CMS) van de website te bemachtigen.

Update 18:39
NU.nl waarschuwt bezoekers inmiddels via een blogposting. "We hebben geconstateerd dat er woensdag 5 juni via een aangesloten advertentienetwerk op NU.nl een advertentie is getoond die tot doel had malware te verspreiden." De website zegt te onderzoeken hoe vaak de besmette advertenties zijn getoond.

Reacties (30)
06-06-2013, 17:36 door [Account Verwijderd]
[Verwijderd]
06-06-2013, 18:05 door Anoniem
Graag even melden welke advertentieserver het was dan kan die in de eeuwige blacklist.

En oja, niet te vergeten: maak toch een Software Restriction policy cq Applocker policy aan die executables
in %UserProfile% verbiedt.
Wanneer gaat Microsoft dat nou eens default doen?
Executables hebben daar niks te zoeken!
06-06-2013, 18:11 door [Account Verwijderd]
[Verwijderd]
06-06-2013, 18:42 door potshot
Door Allard Pruim:
De infectie werd verspreid via advertenties.
Ablock Plus en NoScript gebruiken, daar wordt de boel weer wat veiliger door.

meesten vinden dat onhandig en is teveel moeite.
zelfs java updaten is al te veel moeite.
een kennis had vorige week een politievirus, java en virus scanner haljaar niet geupdate,flash ook niet.
ze rolden altijd met de ogen als ik over zoiets begon.
maar nu was ik wel goed genoeg om hen te helpen
ze willen nu een android want die lijkt makkelijker en veiliger zeggen ze..argh
06-06-2013, 18:50 door Anoniem
Door Allard Pruim:
De infectie werd verspreid via advertenties.
Ablock Plus en NoScript gebruiken, daar wordt de boel weer wat veiliger door.
Vergeet Sandboxie niet.
06-06-2013, 19:35 door spatieman
wordt er ook verteld via welke browser de meeste infecties waren....
06-06-2013, 19:56 door Anoniem
Inmiddels uit het artikel begrepen dat het (weer eens) een lek in een OpenX advertentieserver betrof.
Die hebben we gelukkig al globaal geblocked, dus geen probleem.
06-06-2013, 20:11 door rctgamer3
Door spatieman: wordt er ook verteld via welke browser de meeste infecties waren....
Maakt geen zak uit. Java is Java.


Mensen die te lui zijn om Java en andere plugins te updaten, gebruik gewoon Ninite. De Flash Player updater werkt nog steeds, mist je de installer nog hebt.
06-06-2013, 20:16 door mvh69
Er was sprake van een java exploit , dus gok ik er op dat de browser niet veel uitmaakt.

edit : toen ik dit poste had mijn broswer de pagina blijkbaar niet ververst , is nu overbodig
06-06-2013, 20:50 door [Account Verwijderd]
[Verwijderd]
06-06-2013, 23:10 door Erik Loman
HitmanPro detecteert en verwijdert de geserveerde malware middels forensics (zonder signatures):
https://twitter.com/erikloman/status/342735824485511168

Ook HitmanPro.Alert slaat direct alarm nav de exploits via NU.nl, direct leidende tot een Man-in-the-Browser aanval (hier Firefox 21):
https://twitter.com/erikloman/status/342737644255600640
06-06-2013, 23:54 door [Account Verwijderd]
[Verwijderd]
07-06-2013, 00:11 door Erik Loman
Door Functietoets:
PS: Alleen werkt HitmanPro.Alert niet samen met IE en Kaspersky's Veilig Bankieren. Dan krijg je een scherm te zien met de valse melding dat je browser is aangetast. Maar misschien kan Erik Loman hier ook iets tegen doen.
Er komt binnenkort een update voor HitmanPro.Alert (versie 2) die beter samenwerkt met dergelijke tools.
07-06-2013, 00:11 door johanw
Door Anoniem: Graag even melden welke advertentieserver het was dan kan die in de eeuwige blacklist.

Waarom zo moeilijk doen? Gewoon alle advertenties blokkeren, daar wordt het webbrowsen ook nog eens een stuk prettiger ervaring door.
07-06-2013, 01:20 door [Account Verwijderd]
[Verwijderd]
07-06-2013, 08:59 door Anoniem
Door johanw:
Door Anoniem: Graag even melden welke advertentieserver het was dan kan die in de eeuwige blacklist.

Waarom zo moeilijk doen? Gewoon alle advertenties blokkeren, daar wordt het webbrowsen ook nog eens een stuk prettiger ervaring door.
Ik praat daar in mijn functie als systeembeheerder en ik kan niet zomaar besluiten "we gaan alle advertenties blokkeren".
Echter, als er beveiligingstechnische redenen voor zijn dan kan dat wel.
Op mijn eigen systeem thuis en op het werk heb ik uiteraard wel ABP aan staan, maar dat bedrijfsbreeed
uitrollen daarvoor moet ik een wijzigingsaanvraag doen en laten accorderen. Misschien doe ik dat nog wel.

Echter voorlopig is de policy:
- advertentie hosters: eenmaal gehacked, permanent geblokkeerd
- alles rond OpenX: geblokkeerd
(zowel de servers van OpenX zelf als degenen die het gezien een regexp op de URL zo te zien gebruiken)

Dat laatste was in dit geval voldoende want het was weer eens OpenX.
Echter, we lopen gezien vele andere maatregelen zowizo minder risico op dit gebied.
(gebruikers geen admin, proxy blokkeert .exe, software restriction policy blokkeert .exe in userprofile, e.d.)
07-06-2013, 09:48 door Korakies
Wellicht wat te veel van het goede, maar ik heb Firefox draaien in een sandbox. Daarnaast Adblock Plus als wel een aangepast Hosts file.

# De sandbox beschermt tegen script aanvallen,
# Adblock Plus tegen bewerkte advertenties,
# Het aangepaste hosts file voorkomt dat zaken worden geladen die ongezond zijn voor je OS

Deze beschermlaag vertraagt niet, integendeel, door het niet laden van een groot deel van de advertenties geeft de browser de pagina's sneller weer. Op de bewuste tijd ben ik ook op de website geweest van NU.nl en heb niets gemerkt. Een aanvullende scan heeft ook geen besmetting gevonden.
07-06-2013, 10:06 door Mark de Jager
Door Anoniem:
Door Allard Pruim:
De infectie werd verspreid via advertenties.
Ablock Plus en NoScript gebruiken, daar wordt de boel weer wat veiliger door.
Vergeet Sandboxie niet.
Dat werkt niet op Windows 8 helaas.

Ik heb Java gelukkig niet op me computer staan, alle andere software laat ik automatisch bijwerken.
07-06-2013, 10:20 door Infected
Is er al iets bekend over welke versie's van Java gevoelig zijn voor deze malware?
07-06-2013, 10:27 door RichieB
Door Anoniem: En oja, niet te vergeten: maak toch een Software Restriction policy cq Applocker policy aan die executables
in %UserProfile% verbiedt.
Wanneer gaat Microsoft dat nou eens default doen?
Executables hebben daar niks te zoeken!
Ik ben het helemaal met je eens, maar je moest eens weten hoeveel legitieme software daar en in %temp% dlls en exes dumpt en dan opstart. Dus als Microsoft dit default zou willen maken moet er heel wat software worden herschreven. (Hetgeen een goede zaak zou zijn.)
07-06-2013, 10:46 door 0101
De malware wordt inmiddels door 26 van de 47 scanners op VirusTotal gedetecteerd: https://www.virustotal.com/nl/file/49660afd0d24c80d00eb8b0bf5ecbc1745b371162e89625e3bd36d21072956af/analysis/1370594272/
07-06-2013, 11:42 door Anoniem
2 te proberen (?) security tips :


1) Adblock plus gebruiken als Malware content Filter

'No-script' is een zeer effectieve addon.
Vergeten wordt vaak 'Request Policy' : veel afbeeldingen wordt gebruikt voor tracking en van vele 3rd party domeinen geladen. Bij heel commerciële sites levert dat een lijst van wel 10 of meer connectie attempts op.
Vergelijking is dan raadzaam, bijvoorbeeld met de tracker lijst die een addon als 'Ghostery' laat zien.

Lastig is het met een Firewall hele TLD's te blocken (voorzover ik weet, hele ip reeksen per land invoeren is ook zo wat).
Alleen handmatig per site elke verbinding handmatig accepteren of weigeren geeft inzage in verbindingen, dat is niet alleen vermoeiend en moet je zin in hebben, het is niet waterdicht want je kan niet altijd bij elke opgave van ip-adres/domein/reverse dns domain inschatten of het te vertrouwen is (bovenstaande malware maakt ook verbinding met een adres in canada, en" .ca, " heb ik niet op een blacklist).

In ieder geval kan je goed monitoren of je niet naar een ongewild domein wordt geleid (je bezoekt een .com domein maar legt ook verbinding met een .ua domein bijvoorbeeld (het tweede malware host adres).

Als malware nogal eens in afbeeldingen of vergelijkbare visuele zaken verstopt is, waarom dan niet doen alsof dat een ongewenste advertentie is? Kwestie van perceptie toch?

Na wat uitproberen blijk je TLD's prima deels te kunnen blocken via Ad-Block plus.
Wanneer je een nieuwe filter-rule aanmaakt als bijvoorbeeld " ||*.ua^ " (en pak voor de test even een ander domein, van mijn part " .be ") , zul je zien dat je weliswaar wel de pagina kan bezoeken maar dat je deze pagina als een soort simple html voorgeschoteld krijgt.
Zonder Afbeeldingen, animaties of andere visuele content (wel de background colors in voorkomende gevallen).

Mocht je de site in kwestie wel vertrouwen hef je voor die site de rule op (maar ja " nu.nl " vertrouw je in principe ook. Het werkt vooral als extra veiligheidsfilter wanneer je via search results vanuit een search engine vele pagina's bezoekt (cache preview text only kan natuurlijk ook).

In de hoop dat je malware die in visueel materiaal verstop zit niet laadt en anders is als aanvulling daarop de volgende tip ook te proberen / een idee?


2) Drive by download beetje tegen werken

zie reactie bij :
https://www.security.nl/artikel/46511/1/Online_test_controleert_instellingen_virusscanner.html

Met de opmerking dat je dit ook op de reguliere download-folder zou kunnen toepassen.

Alles werkend en uitgeprobeerd op een Mac met Mozilla browsers (van betrekkelijk oud en unsupported tot nieuwer) en in variatie ook met een Safari achtige browser voor de Mac (geen adblock plus, wel de uitgebreide mogelijkheden voor het definiëren van blocken van soorten 3rd party connections, iets andere definities).

Welke TLD's je kiest is aan jezelf, even gedoe met aanmaken (hier iets van ruim 200 in de lijst).
Of deze varianten werken weet ik niet " ||hxxps://* " , " ||hxxp://* " , wellicht kan iemand anders dat testen.

Verder geen idee hoe dit voor IE (op een pc) zou kunnen werken,
whizzkids genoeg hier om het idee om te zetten en te proberen,
denk ik zo.

Ben benieuwd.

--

(maar eerst eens Java&flash updaten , Java Plugin / Java uitschakelen en of verwijderen?)
07-06-2013, 13:28 door Anoniem
Ik kan me nog herinneren dat nog niet zo lang geleden er ook malware besmetting had plaatsgevonden op www.nu.nl. Mischien dat de beheerders van deze website de boel wat veiliger kunnen houden? Anders is het wellicht nodig om www.nu.nl op een zwarte lijst van onveilige websites te plaatsen.In elk geval: ik ga er zelden of nooit meer naar toe,naar www.nu.nl. Ik ben nl. de vorige keer nog niet vergeten. Worden websites niet met een virusscanner bewaakt?
07-06-2013, 16:08 door Sarodj
Door Anoniem: Ik kan me nog herinneren dat nog niet zo lang geleden er ook malware besmetting had plaatsgevonden op www.nu.nl. Mischien dat de beheerders van deze website de boel wat veiliger kunnen houden? Anders is het wellicht nodig om www.nu.nl op een zwarte lijst van onveilige websites te plaatsen.In elk geval: ik ga er zelden of nooit meer naar toe,naar www.nu.nl. Ik ben nl. de vorige keer nog niet vergeten. Worden websites niet met een virusscanner bewaakt?

Het probleem is dat advertenties door externe worden aangeboden, deze externe partijen leveren een stukje code aan dat reclames van hun servers inlaad en deze weergeeft op de site zelf. Deze advertenties zijn vaak gebaseerd op jouw zoekresultaten en zijn vooral dynamisch.

Waar het op neerkomt is dat nu.nl niet besmet was maar de reclame die erop weergegeven wordt. Beveilig je browser gewoon met addblock plus en noscript. als je windows hebt draai je browser in sandboxy en als je linux draait voer je aa-enforce firefox uit.
07-06-2013, 16:18 door Anoniem
Door RichieB:
Door Anoniem: En oja, niet te vergeten: maak toch een Software Restriction policy cq Applocker policy aan die executables
in %UserProfile% verbiedt.
Wanneer gaat Microsoft dat nou eens default doen?
Executables hebben daar niks te zoeken!
Ik ben het helemaal met je eens, maar je moest eens weten hoeveel legitieme software daar en in %temp% dlls en exes dumpt en dan opstart. Dus als Microsoft dit default zou willen maken moet er heel wat software worden herschreven. (Hetgeen een goede zaak zou zijn.)
Ik heb deze policy al jaren in gebruik en ik ken uit de praktijk maar 2 problemen:
1. er is 1 cmd file die MS Terminal server daar neerzet en uitvoert. Die heb ik in de policy voor terminalservers gewhitelist.
2. exefiles die je op internet aanklikt die komen daar terecht. nou die wil ik nou net blokkeren, dus dat is geen probleem
maar alleen iets waar men tegenaan loopt.

Wat je nog wel eens hebt is dat gebruikers van een partij te horen krijgen dat ze Teamviewer moeten opstarten door naar
de Teamviewer site te gaan en daar ergens te klikken.
Dat werkt dus niet, maar we kunnen op verzoek Teamviewer locaal installeren in Program Files en dan kan men dat
gebruiken. (idem voor een stuk of 5 andere van dit soort programma's)
07-06-2013, 18:10 door mvh69
Beveilig je browser gewoon met addblock plus en noscript. als je windows hebt draai je browser in sandboxy en als je linux draait voer je aa-enforce firefox uit.
Dat is op zich een goed advies en technisch gezien totaal juist maar toch even dit:
Addblock plus vind ik een zeer fijne extensie , werkt prima , houd al die irritante adds tegen die anders je scherm vervuilen.
En bovendien een zeer goede bescherming tegen het probleem van malvertising.Daarbij laden de meeste pagina's ook nog eens een stuk sneller.

Noscript ben ik persoonlijk geen voorstander van omdat het standaard te veel websites "breekt" die ik bezoek.
Natuurlijk kan je de boel verder configureren en uitzonderingen opgeven , dat gaat prima voor een handje vol sites die je regelmatig bezoekt.Maar.........wanneer er dan een probleem (exploit) op een van die sites is dan helpt noscript dus op dat moment niet.
En dan nog de sites die je bij het googlen naar dingen slechts eenmalig bezoekt , ga je daar dan elke keer uitzonderingen voor instellen ?Mijn mening is dat noscript daardoor niet genoeg extra veiligheid geeft voor de moeite die het kost.

Voor sandboxie geld naar mijn idee het zelfde , ik vind het teveel moeite kosten voor wat het oplevert.(zowieso vertraagd sandboxie de boel)

Uiteraard blijf je dan toch met een redelijk gat zitten in je beveiliging , een gat wat naar mijn idee prima gedicht kan worden door de (voorlopig) gratis beta versie van Exploit Shield (van ZeroVulnerabilityLabs) (nee ik heb geen aandelen in die tent)
Dit product is tot nu toe zeer succesvol gebleken in het stoppen van driveby downloads , ook bij java exploits.
Dit heeft geen merkbare nadelen , is install en forget , in tegenstelling tot NoScript en Sandboxie.

En uiteraard ook gewoon blijven updaten.

Indien je dan toch nog steeds van mening bent dat je iets aan beveiliging mist dan kan je altijd nog een goede hips gebruiken en daar niet alleen je browser maar ook de rest van je systeem heel erg mee dicht timmeren.
Dit kan , als het echt potdicht wilt zetten , wel redelijk veel werk zijn .Maar als je alleen je browser wil limiteren in wat het op je systeem mag doen (lezen/aanpassen register sleutels , bestanden lezen/wegschrijven , executables opstarten , direct memory en direct disk access enz) dan zou je binnen een paar minuten klaar kunnen zijn.

Ook kan het helpen om alleen een gelimiteerde user account te gebruiken zonder admin rechten.

Dan denk ik dat je een behoorlijk goede en gelaagde beveiliging hebt en die Noscript en Sandboxie niet echt meer mist.

ps mijn setup gaat nog wel iets verder dan dat , maar ik geloof niet dat dat voor iedereen geschikt is.
07-06-2013, 18:35 door mvh69
Als toevoeging op bovenstaande reactie wil ik toch nog even kwijt dat ik toch nog steeds voorstander ben van het uitschakelen/uninstallen van java in de browser , ook al is ExploitShield goed in het tegenhouden van de payloads van dergelijke exploits.
07-06-2013, 18:52 door [Account Verwijderd]
[Verwijderd]
07-06-2013, 22:31 door Anoniem
De telegraaf is ook weer doelwit van malware vanmorgen met een trojan.

Mijn Avast 8 Free versie maakte al melding hiervan

Op virustotal.com was hier nog niets van bekend.

Infectie is:HTML:Iframe-AMG[Tr]

en zelfs vanavond was het probleem nog niet opgelost.

Feedback verzonden naar de redactie,ze wisten het al.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.