image

Malware op NU.nl zeer gevaarlijk

donderdag 15 maart 2012, 12:10 door Redactie, 25 reacties

De malware die gisteren korte tijd op NU.nl bezoekers infecteerde is zeer gevaarlijk en kan geld van bankrekeningen afhalen, zo laten beveiligingsexperts aan Security.nl weten. Aanvallers wisten de inloggegevens van het NU.nl content managementsysteem te achterhalen. Via dit systeem worden berichten op de nieuwssite geplaatst. De aanvaller gebruikte de gegevens om een kwaadaardig script op de website te verstoppen, dat controleerde of bezoekers geen verouderde software zoals Adobe Reader of Java gebruikten. Was dit het geval, dan werd er vanaf een Indiase server een exploit gebruikt die vervolgens de Sinowal Trojan installeerde. Een berucht Trojaans paard, dat al sinds 2007 wordt ingezet om Nederlandse gebruikers van internetbankieren aan te vallen.

"Sinowal, ook bekend als Torpig, is een zeer actieve banking Trojan", zegt Ralf Benzmüller, hoofd van G Data Security Labs. De besmette computers worden onderdeel van een botnet dat ook aanvullende malware kan installeren. De besmette machines kunnen zo worden ingezet voor het uitvoeren van DDoS-aanvallen tegen websites, maar ook de installatie van spyware en spamtools is mogelijk.

Installeren
De virusbestrijder stelt dat de eigen BankGuard de meeste exemplaren herkent, maar ook niet allemaal. Verder vindt hij HitmanPro een goede keus. Sinowal wordt beschermd door de TDL of MBR-rootkits en zijn daardoor zeer lastig te identificeren en te verwijderen. Wie dan ook echt veilig wil zijn zal volgens Benzmüller drastische stappen moeten nemen. "Om het zekere voor het onzekere te kiezen is het opnieuw installeren van de machine de veiligste optie, wat natuurlijk slecht nieuws voor de bezoekers is."

Getroffen gebruikers moeten volgens Nicolas Brulez van Kaspersky Lab vooral hun bankrekening en afschriften in de gaten houden, aangezien Sinowal vooral ontwikkeld is om internetbankieren aan te vallen. "Sinowal is een serieuze dreiging die geavanceerde rootkit-technologieën en bootvirus-methoden gebruikt om de Master Boot Record (MBR) te infecteren." Vanwege deze eigenschappen is het lastig om de malware te detecteren. Helemaal voor eindgebruikers, aangezien er geen zichtbare "symptomen" op de computer waarneembaar zijn.

Updaten
Hij adviseert internetgebruikers die NU.nl gisteren tussen 11:30 en 12:30 bezochten, het moment dat de malware online stond, om de gratis TDSS killer tool van Kaspersky te gebruiken. Wie in de tussentijd de online bankrekening heeft bezocht moet er daarnaast rekening mee houden dat de inloggegevens zijn buitgemaakt. Inmiddels is duidelijk geworden dat de infectie tussen 11:30 en 13:45 speelde. Tevens zou TDSS killer niet de gehele infectie kunnen verwijderen.

Het verwijderen van Sinowal alleen is daarnaast niet voldoende. Uit deze analyse blijkt dat er kwaadaardige PDF- en Java-bestanden werden gebruikt om de computers te infecteren. Wie de laatste Java en Adobe Reader updates niet installeert is dan ook nog steeds kwetsbaar voor nieuwe infecties, merkt Brulez op. Voor geavanceerde gebruikers adviseert hij de Firefox uitbreiding NoScript, die het uitvoeren van willekeurige scripts voorkomt.

Opzet
NU.nl werd vorig jaar in de categorie nieuws & informatie verkozen tot website van het jaar. "De cybercriminelen die de aanval uitvoerden hebben dus juist NU.nl misbruikt omdat dit een ontzettend populaire website is", stelt Mark Loman van beveiligingsbedrijf SurfRight. "Het tijdstip van de aanval was ook belangrijk, want rond lunchtijd lezen veel mensen bij bedrijven het laatste nieuws via NU.nl."

Het lijkt er volgens Loman op dat computers bij bedrijven het doelwit waren. "Systeembeheerders kunnen vaak de webbrowser en Java of PDF reader soms jarenlang niet bijwerken omdat een belangrijke bedrijfsapplicatie niet overweg kan met de actuele en veel veiligere versie."

Internetbankieren
Ook Loman waarschuwt internetbankierders. De malware zal namelijk een man-in-the-browser aanval proberen uit te voeren. "Hierdoor kan Sinowal bijvoorbeeld een geldbedrag en het ontvangende rekeningnummer wijzigen. Dit gebeurt precies voordat de transactie over de versleutelde verbinding naar de bank wordt gestuurd", laat de beveiligingsexpert weten.

Ook al controleert en ziet de gebruiker voor het internetbankieren dat de verbinding met de bank versleuteld is, het is niet langer veilig om gebruik te maken van internetbankieren, of om andere persoonlijke gegevens zoals creditcard-details of wachtwoorden op websites in te voeren, merkt Loman op. "Overigens is het systeem bij de Nederlandse banken principieel wel veilig, het is de computer van de klant wat de zwakste schakel is."

Gebruikers krijgen van hem het advies om de infectie via HitmanPro te verwijderen en ongebruikte applicaties, zoals bijvoorbeeld Java, te verwijderen.

Update 19 maart 2012
G Data laat in een reactie weten dat Bankguard alle exemplaren van Sinowal herkent zodra die de browser aanvalt. Maar in het geval die met een rootkit beschermd is, niet in staat is die van het systeem te verwijderen.

Reacties (25)
15-03-2012, 12:27 door Anoniem
ben je wel safe, in SAFEzone van AVAST?
15-03-2012, 12:41 door Above
Door Redactie: Voor geavanceerde gebruikers adviseert hij de Firefox uitbreiding NoScript, die het uitvoeren van willekeurige scripts voorkomt.

Vergeten we hier Chrome?
Voor Chrome heb je ScriptNo welke hetzelfde doet en nog meer in de opties om fine te tunen.
15-03-2012, 12:49 door Anoniem
Verder vindt hij ( Ralf Benzmüller, hoofd van G Data Security Labs) HitmanPro een goede keus. Sinowal wordt beschermd door de TDL of MBR-rootkits en zijn daardoor zeer lastig te identificeren en te verwijderen???

Maw, G Data's eigen produkt kan het niet altijd vinden en niet verwijderen?
15-03-2012, 13:09 door Anoniem
Door Above:
Door Redactie: Voor geavanceerde gebruikers adviseert hij de Firefox uitbreiding NoScript, die het uitvoeren van willekeurige scripts voorkomt.

Vergeten we hier Chrome?
Voor Chrome heb je ScriptNo welke hetzelfde doet en nog meer in de opties om fine te tunen.


Meerdere keren gelezen, dat Firefox met addons als Noscript en Adblock Plus, etc. vooraf filtert bij het openen van websites. In tegenstelling tot Crome met hun soortgelijke extenties. dat pas achteraf na het openen van sites die zaken wegfiltert zodat ze eerst nog even je surfgegevens, etc. zichzelf kunnen doen toekomen. Met zulk een beleid mogen ze van mij ook hun sandbox in hun **** steken met hun verder overigens erg fijne browser als je niets om je privacy geeft.
15-03-2012, 13:18 door Anoniem
Noscript hielp toch niet bij deze bij deze infectie omdat de meeste gebruikers in Noscript instellen dat het hoofddomein (nu.nl) wel scrips mag uitvoeren? (en daar stond het besmette bestand)
15-03-2012, 13:27 door Anoniem
Ik ben dit virus eerder tegen gekomen.
Volgens mij heeft Foxit ook een detectie tool die Sinowal detecteerd.
Ik heb geen andere virusscanner gevonden die dat betreffende exemplaar toen der tijd detecteerde; enkel de tool van Foxit die hier te downloaden is:

https://www.ing.nl/cleaner

Kreeg het virus met geen enkele antivirus zo ver verwijderd dat de ING cleaner de PC veilig bevond.
Ik moest daar voor een nieuwe MBR installeren en een wazige partitie die er bij gekomen was verwijderen

suc6!

Greetingz,
Jacco
15-03-2012, 13:41 door Anoniem
Die Kaspersky-tool zeg dat er niets aan de hand is op mijn pc, maar HitmanPro zegt dat ik besmet ben met het Sinowal. Die Kaspersky-tool werkt dus blijkbaar niet!!!
15-03-2012, 13:44 door Bitwiper
Door Anoniem: Noscript hielp toch niet bij deze bij deze infectie omdat de meeste gebruikers in Noscript instellen dat het hoofddomein (nu.nl) wel scrips mag uitvoeren? (en daar stond het besmette bestand)
Inderdaad stonden de basisinstructies in http://www.nu.nl/files/g.js. Als je in NoScript nu.nl in NoScript als vertrouwd domein hebt aangemerkt werd dat scriptbestand dus ook uitgevoerd.

Vanuit dat script werd een iframe vanaf servers met een .in naam geïnjecteerd. Iframes kun je ook uitzetten in NoScript meen ik (weet even niet zeker, maar wellicht doen minder gebruikers dat, en ik weet ook niet wat de default is).

Echter het lijkt er op dat vervolgens ook javascript vanaf die zogenaamd zich in India bevindende servers werd gebruikt om de exploits te laden, zie de uitstekende writeup van Sijmen Ruwhof: http://sijmen.ruwhof.net/weblog/166-nu-nl-gehackt-malware-analyse.

Als ik Sijmen goed begrijp wordt de javascript code die begint met "function ns2()" vanaf een van de .in servers gehaald. Als dat zo is helpt NoScript natuurlijk wel, want die .in servers zijn natuurlijk niet trusted.
15-03-2012, 14:16 door [Account Verwijderd]
[Verwijderd]
15-03-2012, 14:17 door Anoniem
Echt een perfecte website om een malware in te gooien :D
15-03-2012, 14:23 door Anoniem
Is het mogelijk om handmatig te controleren of een PC geïnfecteerd is door deze trojan?
Bijvoorbeeld door het controleren van de actieve processen?
of een registry entry?
15-03-2012, 14:29 door Anoniem
Ik heb geen java of adobe reader en gebruik FF met noscript in sandboxie. Zelf had ik "nu.nl tijdelijk toestaan" geselecteerd in noscript dus dat bestand g.js zou waarschijnlijk gedraaid hebben. Nu vraag ik me af of sanboxie mijn pc voldoende heeft beschermd.
15-03-2012, 14:41 door Anoniem
Door Bitwiper: Inderdaad stonden de basisinstructies in http://www.nu.nl/files/g.js. Als je in NoScript nu.nl in NoScript als vertrouwd domein hebt aangemerkt werd dat scriptbestand dus ook uitgevoerd.

Vanuit dat script werd een iframe vanaf servers met een .in naam geïnjecteerd. Iframes kun je ook uitzetten in NoScript meen ik (weet even niet zeker, maar wellicht doen minder gebruikers dat, en ik weet ook niet wat de default is).

Ik heb net NoScript even onder een tijdelijke user geïnstalleerd om de standaardinstellingen zichtbaar te maken. Als je die niet aanpast:
- worden iframes toegestaan;
- worden objecten die je voor niet vertrouwde sites hebt geblokkeerd toegestaan als ze van vertrouwde sites geladen worden;
- worden objecten geladen van niet vertrouwde sites geblokkeerd.

Het laatste had in dit geval de infectie tegengehouden. Als ze de malware op de server van nu.nl hadden geplaatst in plaats van naar een andere site te verwijzen was die niet tegengehouden met de standaardinstellingen. Het is dus de moeite waard om iframes te verbieden en objecten ook op vertrouwde sites te blokkeren (bij de meeste sites is het een kwestie van het object aanklikken om het alsnog te laden, hoewel het bij sommige sites niet zo makkelijk gaat).
15-03-2012, 14:41 door wallum
Door Bitwiper:
Door Anoniem: Noscript hielp toch niet bij deze bij deze infectie omdat de meeste gebruikers in Noscript instellen dat het hoofddomein (nu.nl) wel scrips mag uitvoeren? (en daar stond het besmette bestand)
Inderdaad stonden de basisinstructies in http://www.nu.nl/files/g.js. Als je in NoScript nu.nl in NoScript als vertrouwd domein hebt aangemerkt werd dat scriptbestand dus ook uitgevoerd.

Vanuit dat script werd een iframe vanaf servers met een .in naam geïnjecteerd. Iframes kun je ook uitzetten in NoScript meen ik (weet even niet zeker, maar wellicht doen minder gebruikers dat, en ik weet ook niet wat de default is).

Echter het lijkt er op dat vervolgens ook javascript vanaf die zogenaamd zich in India bevindende servers werd gebruikt om de exploits te laden, zie de uitstekende writeup van Sijmen Ruwhof: http://sijmen.ruwhof.net/weblog/166-nu-nl-gehackt-malware-analyse.

Als ik Sijmen goed begrijp wordt de javascript code die begint met "function ns2()" vanaf een van de .in servers gehaald. Als dat zo is helpt NoScript natuurlijk wel, want die .in servers zijn natuurlijk niet trusted.

Iframes kun je inderdaad uitzetten in Noscript, maar dit staat default aan en ik denk dat maar weinig mensen die instelling aanpassen. Bij complexe sites als online bankieren zijn vaak wel 5 of meer domeinen betrokken. Dan laat ik Noscript 'Alles op deze pagina toestaan' (definitief, niet tijdelijk), anders blijf je bezig voordat het goed werkt.

Sommigen zullen dat ook bij Nu.nl hebben gedaan. Dat is in dit geval alleen een probleem als je Noscript gister tussen 11.30 en 13.30 instelde om alle domeinen toe te staan (want alleen toen werden die .in-domeinen aangeroepen op nu.nl).
(alles onder voorbehoud dat de info Sijmen klopt).
15-03-2012, 15:18 door Anoniem
Door Peter V:
Gebruikers krijgen van hem het advies om de infectie via HitmanPro te verwijderen en ongebruikte applicaties, zoals bijvoorbeeld Java, te verwijderen.
Het geeft maar weer eens aan hoe belangrijk het is om geen Java te installeren.
Er zijn helaas websites waar je niet zonder Java kan. Mijn favoriete fotoafdrukdienst laat je de fotobestanden enkel via een Java-applet uploaden. De consumentendiensten verknallen mijn foto's (ik stel eisen waar zij niet aan voldoen, zoals goede kleurcalibratie en vooral niet op eigen houtje de contrastcurve/belichting `corrigeren' tot iets heel anders dan ik zorgvuldig had fijngeregeld), van de professionele diensten die ik gebruikt heb vind ik ze zowel kwalitatief als qua wijze van afhandeling de beste. En dus heb ik Java nodig.

Het echte helaas is trouwens niet voor Java als platform (de security daarvan zou op zich veel beter in orde moeten kunnen zijn dan hij is) maar voor de manier waarop Oracle het beheert.

Ik heb dus Java geïnstalleerd, maar blokkeer het met NoScript (wat ik sowieso gebruik), ook voor websites die als vertrouwd zijn gemarkeerd. Een applet wordt pas geladen als ik daarvoor kies door op de placeholder voor het object te klikken.
15-03-2012, 16:59 door Anoniem
Hij adviseert internetgebruikers die NU.nl gisteren tussen 11:30 en 12:30 bezochten, het moment dat de malware online stond, om de gratis TDSS killer tool van Kaspersky te gebruiken.

LET OP: Het op eigen houtje gebruiken van TDSSKiller kan zeer schadelijk zijn, zie ook http://www.nucia.eu/forum/showthread.php?t=66959
15-03-2012, 20:04 door Anoniem
Door Anoniem: Die Kaspersky-tool zeg dat er niets aan de hand is op mijn pc, maar HitmanPro zegt dat ik besmet ben met het Sinowal. Die Kaspersky-tool werkt dus blijkbaar niet!!!

same here
15-03-2012, 20:31 door [Account Verwijderd]
[Verwijderd]
15-03-2012, 20:40 door Anoniem
Zo zien we dat het belangrijk is alle software up to date te houden daarvoor gebruik ik Secunia PSI

http://secunia.com/vulnerability_scanning/personal/

Er waren maar 2 virusscanners die het Trojan gisteren herkenden!

PK
15-03-2012, 21:10 door Anoniem
Door Anoniem: Ik heb geen java of adobe reader en gebruik FF met noscript in sandboxie. Zelf had ik "nu.nl tijdelijk toestaan" geselecteerd in noscript dus dat bestand g.js zou waarschijnlijk gedraaid hebben. Nu vraag ik me af of sanboxie mijn pc voldoende heeft beschermd.

Als het goed is wel he, want het systeem werkt zo dat alles binnen die beveiligde zone draait die je zonder probleem kan leegmaken als je klaar bent met surfen. Dus alles wat je download etc. dus ook die trojan beland in je sanbox
15-03-2012, 21:20 door [Account Verwijderd]
[Verwijderd]
15-03-2012, 21:36 door Anoniem
Als u een tekst overneemt, neem die dan helemaal over en niet een fractie daarvan. Want wat staat er op Nucia WEL?

Wij raden iedereen zonder specialistische kennis van het gebruik van deze tool ten zeerste af de tool zonder begeleiding van een deskundige te gebruiken.

Ik ben zelf de auteur van de waarschuwing op Nucia. De mededeling dat het gebruik van TDSSKiller schadelijk kan (met nadruk op kan) zijn lijkt mij geen onjuiste weergave van wat er in de waarschuwing staat. Het gaat mij erom te voorkomen dat de gemiddelde computergebruiker zomaar met TDSSKiller aan de slag gaat, zijn Windows-installatie om zeep helpt en nog verder van huis is. Omdat TDSSKiller aan alle kanten zonder enig voorbehoud wordt aangeraden als verwijdertool voor deze infectie vond ik het noodzakelijk om daar een (misschien wat summiere, maar niet onjuiste) kanttekening bij te plaatsen.
15-03-2012, 22:20 door Bitwiper
Door Anoniem: Ik heb net NoScript even onder een tijdelijke user geïnstalleerd om de standaardinstellingen zichtbaar te maken. Als je die niet aanpast:
- worden iframes toegestaan;
- worden objecten die je voor niet vertrouwde sites hebt geblokkeerd toegestaan als ze van vertrouwde sites geladen worden;
- worden objecten geladen van niet vertrouwde sites geblokkeerd.

Het laatste had in dit geval de infectie tegengehouden. Als ze de malware op de server van nu.nl hadden geplaatst in plaats van naar een andere site te verwijzen was die niet tegengehouden met de standaardinstellingen. Het is dus de moeite waard om iframes te verbieden en objecten ook op vertrouwde sites te blokkeren (bij de meeste sites is het een kwestie van het object aanklikken om het alsnog te laden, hoewel het bij sommige sites niet zo makkelijk gaat).
Dank voor de check en het delen van deze info!
20-03-2012, 03:11 door Anoniem
Volgens mij heeft het veel meer zin om van de maandelijkse java update(standaard) een dagelijkse te maken...
22-08-2012, 09:46 door Anoniem
Leuk hoor, dat TDSS killer, maar het is een windows programma en werkt dus niet op m'n MAC :(. Iemand een idee om het van de MAC af te krijgen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.