image

YouTube-advertenties verspreiden malware

maandag 24 februari 2014, 15:18 door Redactie, 22 reacties

Aanvallers zijn erin geslaagd om via advertenties op YouTube malware te verspreiden die geld van online bankrekeningen steelt. De advertenties in kwestie maakten misbruik van een beveiligingslek in Java en werden tijdens het bekijken van een filmpje op YouTube getoond.

De advertenties wezen naar de Styx exploitkit. Deze exploitkit maakte misbruik van een Java-lek dat Oracle vorig jaar juni patchte. In het geval YouTube-bezoekers hun Java-installatie niet up-to-date hadden werd de Caphaw banking Trojan op de computer geïnstalleerd. Deze malware, ook bekend als Shylock, is speciaal ontwikkeld om gegevens voor internetbankieren, te onderscheppen. Met deze gegevens kan de malware vervolgens frauduleuze transacties verrichten.

De malware werd door 17 van de 50 virusscanners op VirusTotal herkend. Volgens Bromium Labs, dat de aanval ontdekte, zijn de aanvallers erin geslaagd om een advertentienetwerk dat op YouTube adverteert te compromitteren. Aangezien het niet om een zeer complexe aanval gaat zijn de onderzoekers verbaasd hoe de aanval uiteindelijk toch in de advertenties op YouTube terecht kon komen. Google zou inmiddels over de malware zijn ingelicht.

Reacties (22)
24-02-2014, 15:22 door Anoniem
leuk man al die advertisement netwerken :)
24-02-2014, 15:27 door Mysterio
De malware werd door 17 van de 50 virusscanners op VirusTotal herkend.
Dit soort gegevens moeten ze meenemen in die onderzoeken naar de beste virusscanner van periode x. Wat blijkt? De scanners die altijd in de top 2 staan (Bitdefender en Kaspersky) laten het gewoon gebeuren, terwijl onze goede vriend MSE het wel detecteert. http://bromiumlabs.files.wordpress.com/2014/02/vt1.png
24-02-2014, 15:57 door Anoniem
Een security toko dat op wordpress draait.... Hoe serieus moet je dat nemen?
24-02-2014, 16:08 door Anoniem
Een goede ad blocker is minstens zo belangrijk als goede antivirus-software, en scheelt bovendien een hoop ergernis over irritant bewegende giffies en dat soort rommel.

Ik ben al jaren zeer tevreden over Ad Muncher ( http://www.admuncher.com ). Er komt vrijwel niets doorheen.
24-02-2014, 16:23 door Rstandard - Bijgewerkt: 24-02-2014, 16:29
Door Mysterio:
De malware werd door 17 van de 50 virusscanners op VirusTotal herkend.
Dit soort gegevens moeten ze meenemen in die onderzoeken naar de beste virusscanner van periode x. Wat blijkt? De scanners die altijd in de top 2 staan (Bitdefender en Kaspersky) laten het gewoon gebeuren, terwijl onze goede vriend MSE het wel detecteert. http://bromiumlabs.files.wordpress.com/2014/02/vt1.png
Ik vind dat een beetje kort de bocht.
"Omdat AV X malware Y kan detecteren en AV Z niet, is X beter"
Het geval is dat geen enkele AV alle malware kan tegenhouden, dus dan gaat het simpelweg om welke het meeste kan detecteren.
24-02-2014, 16:32 door Mysterio
Door bbecko:
Door Mysterio:
De malware werd door 17 van de 50 virusscanners op VirusTotal herkend.
Dit soort gegevens moeten ze meenemen in die onderzoeken naar de beste virusscanner van periode x. Wat blijkt? De scanners die altijd in de top 2 staan (Bitdefender en Kaspersky) laten het gewoon gebeuren, terwijl onze goede vriend MSE het wel detecteert. http://bromiumlabs.files.wordpress.com/2014/02/vt1.png
Ik vind dat een beetje kort de bocht.
"Omdat AV X malware Y kan detecteren en AV Z niet, is X beter"
Het geval is simpelweg dat geen enkele AV alle malware kan tegenhouden, dus dan gaat het simpelweg om welke het meeste kan detecteren.
Nee, in dit en vergelijkbare gevallen is malware zeer kort 'beschikbaar' voor een groot publiek. Je moet dus een product hebben wat op dat moment jou beschermt en niet een week later. Dat dezelfde malware later terugkeert op ander sites is helemaal niet zo spannend, dat geloof ik wel.
Wat je echter ziet in verschillende tests is dat producten worden getest op bekende malware en niet zozeer op malware die op dat moment actief is. Het zou heel verfrissend zijn om aan het eind van de maand een overzicht te zien van welke producten nieuwe bedreigingen meteen oppakten.
24-02-2014, 16:36 door 0101
Door Mysterio:
De malware werd door 17 van de 50 virusscanners op VirusTotal herkend.
Dit soort gegevens moeten ze meenemen in die onderzoeken naar de beste virusscanner van periode x.
Van https://www.virustotal.com/nl/faq/:
Why do not you include statistics comparing antivirus performance?

At VirusTotal we are tired of repeating that the service was not designed as a tool to perform antivirus comparative analyses, but as a tool that checks suspicious samples with several antivirus solutions and helps antivirus labs by forwarding them the malware they fail to detect. Those who use VirusTotal to perform antivirus comparative analyses should know that they are making many implicit errors in their methodology, the most obvious being:

- VirusTotal's antivirus engines are commandline versions, so depending on the product, they will not behave exactly the same as the desktop versions: for instance, desktop solutions may use techniques based on behavioural analysis and count with personal firewalls that may decrease entry points and mitigate propagation, etc.
- In VirusTotal desktop-oriented solutions coexist with perimeter-oriented solutions; heuristics in this latter group may be more aggressive and paranoid, since the impact of false positives is less visible in the perimeter. It is simply not fair to compare both groups.
- Some of the solutions included in VirusTotal are parametrized (in coherence with the developer company's desire) with a different heuristic/agressiveness level than the official end-user default configuration.

These are just three examples illustrating why using VirusTotal for antivirus testing is a bad idea, you can read more about VirusTotal and antivirus comparatives in our blog. The Prevx team also made an entry in their blog discussing the matter.
24-02-2014, 17:37 door vanegmond - Bijgewerkt: 24-02-2014, 18:10
terwijl onze goede vriend MSE het wel detecteert.

En weet je ook. of Avast Free en andere AVG , Avira Free ze tegenhielden ?
Dus jij hebt MSE met W 7 ? Emet ?
Gisteren deed YouTube het niet, misschien door dit !
Dus alleen een AdBlocker houd zoiets tegen, of bv MSE ?
Net Youtube aan en volgens mij heeft deze nu Html 5, is Flash dus weg ?
24-02-2014, 20:09 door Anoniem
De scanners die altijd in de top 2 staan (Bitdefender en Kaspersky) laten het gewoon gebeuren ...

BitDefender van Roemeense makelij

Kaspersky van Russische

Dat zegt genoeg zeker of niet?
24-02-2014, 21:16 door [Account Verwijderd] - Bijgewerkt: 24-02-2014, 21:20
[Verwijderd]
24-02-2014, 22:07 door 0101 - Bijgewerkt: 24-02-2014, 22:07
[Verwijderd]
24-02-2014, 23:25 door vanegmond
Wat ik tevens raar vind is het feit dat de laatste tijd F-Secure niet meer in de VirusTotal resultaten staat beschreven. Ook voor COMODO lijkt te gelden. Waarom is mij niet geheel duidelijk.

Wat ik raar vind, dat jouw link naar brobiumlabs , zie boven. Door Virustotal word neergezet als 15 van de 50 geinfecteerd !
Dus waarom zet je hier zo'n link neer ?
25-02-2014, 02:03 door Spiff has left the building
Door vanegmond, ma.24-2, 23:25 uur:
Wat ik raar vind, dat jouw link naar brobiumlabs, zie boven. Door Virustotal word neergezet als 15 van de 50 geinfecteerd!
Dus waarom zet je hier zo'n link neer?
Welke link bedoel je?
Deze http://labs.bromium.com/2014/02/21/the-wild-wild-web-youtube-ads-serving-malware/,
of deze http://bromiumlabs.files.wordpress.com/2014/02/vt1.png?
Bij het door middel van VirusTotal checken van die adressen vind ik enkel "Clean site" resultaten, zie:
https://www.virustotal.com/nl/url/e21401ffafde5befc6d474cec4f007cc41a9b763dc475da29dd460d92758e5d6/analysis/1393289729/
https://www.virustotal.com/nl/url/c48ea368041203ff365cfe031c533f84b47e68d8e8fd7a07805ed8ee23200841/analysis/1393289741/
Ik begrijp daarom niet wat je bedoelt.
25-02-2014, 09:10 door Mysterio
Door 0101:
Door Mysterio:
De malware werd door 17 van de 50 virusscanners op VirusTotal herkend.
Dit soort gegevens moeten ze meenemen in die onderzoeken naar de beste virusscanner van periode x.
Van https://www.virustotal.com/nl/faq/:
Why do not you include statistics comparing antivirus performance?(..)
Ik snap dat VirusTotal niet de vingers wil branden aan dit soort statistieken. VirusTotal zou verantwoordelijk worden gehouden voor de uitslag en dat maakt het er niet gezelliger op. Echter zou een testorgaan zoals AV-Test wel degelijk een test kunnen ontwikkelen waarbij niet alleen alles uit het verleden wordt getest, maar ook een actuele bedreiging.

Wat enorm lastig is, want een malwaretoepassing als deze vereist onder andere verouderde software. Je moet daarnaast maar net in staat zijn om een actueel stuk malware te vinden en goed in te zetten.
25-02-2014, 09:27 door EKTB
"Beveiligingslek in Java"

Dus als je geen Java hebt geïnstalleerd, is er geen infectie?

Dus Java = onveilig. Dat was toch al langer bekend?
25-02-2014, 09:45 door LightFrame
Door Mysterio:
Je moet dus een product hebben wat op dat moment jou beschermt en niet een week later. Dat dezelfde malware later terugkeert op ander sites is helemaal niet zo spannend, dat geloof ik wel.
Wat je echter ziet in verschillende tests is dat producten worden getest op bekende malware en niet zozeer op malware die op dat moment actief is. Het zou heel verfrissend zijn om aan het eind van de maand een overzicht te zien van welke producten nieuwe bedreigingen meteen oppakten.

Zie VB RAP resultaten: https://www.virusbtn.com/vb100/rap-index.xml
Daar doet Microsoft het niet best wat betreft de proactive detection.

Nog een voorbeeld, MRG Effitas time to detect tests: http://www.mrg-effitas.com/current-tests/
25-02-2014, 15:36 door vanegmond
Welke link bedoel je?
@ Spiff, ik heb gisteren het eerste artikel, met de eerste link naar brobiumlabs.files enz gecheckt met \Virustotal en die gaf toen aan dat 15 of 17 daarvan was geinfecteerd. Ik had ook even zo'n url moeten maken van Virustotal en dan hier neerzetten.
Maar ik kijk er niet meer naar en klik het ook niet aan ! Dus men zal mij en jij ook @ Spiff maar moeten geloven.
Ik zet niet gauw zo'n opmerking neer, dat een link besmet is ! Waarom staat diezelfde link er ook steeds weer ?
25-02-2014, 15:56 door Spiff has left the building
Door vanegmond, 15:36 uur:
[...] Waarom staat diezelfde link er ook steeds weer?
Omdat er volkomen niets mee mis is, volgens VirusTotal.
Ik weet niet wat er de oorzaak van was dat jij gisteren zulke heel andere VirusTotal resultaten vond, maar sinds ik het gisteravond laat en ook nu zonet zelf checkte is jouw resultaat niet te reproduceren.
Ik kan er daarom alleen van uitgaan dat jouw resultaten het gevolg waren van een of ander foutje.
Heb je zelf die links al opnieuw gecheckt door middel van VirusTotal?
25-02-2014, 22:16 door vanegmond
Omdat er volkomen niets mee mis is, volgens VirusTotal.
Ik weet niet wat er de oorzaak van was dat jij gisteren zulke heel andere VirusTotal resultaten vond, maar sinds ik het gisteravond laat en ook nu zonet zelf checkte is jouw resultaat niet te reproduceren.
Ik kan er daarom alleen van uitgaan dat jouw resultaten het gevolg waren van een of ander foutje.
Heb je zelf die links al opnieuw gecheckt door middel van VirusTotal?

Ja alleen welk foutje @ Spiff ? Ik deed R muis op die eerste link, en kreeg toen dat resultaat. Ik moet toch eigenlijk ervan uit kunnen gaan dat elke link hier vooral niks mis mee is, dus ik begrijp er niks van.
Nee ik ga die link echt niet meer aanklikken !
Een volgende keer moet ik niet vergeten die link/url hier neer te zetten. Dan is het makkelijker te achterhalen wat er mis is gegaan.
26-02-2014, 00:47 door Spiff has left the building
Door vanegmond, di.25-2, 22:16 uur:
Ik moet toch eigenlijk ervan uit kunnen gaan dat elke link hier vooral niks mis mee is
Bij links in artikelen door de redactie kun je er redelijkerwijs vanuit gaan dat die veilig zijn.
Maar bij links door gebruikers kan het echter beslist nooit kwaad om zekerheidshalve extra zorgvuldig te zijn, vooral wanneer je het post-gedrag van een bepaalde gebruiker nog niet kent.

Door vanegmond, di.25-2, 22:16 uur:
Nee ik ga die link echt niet meer aanklikken!
Niemand verplicht je daartoe, dat mag voor zich spreken.
Maar om een link te checken door middel van VirusTotal is het natuurlijk ook helemaal niet nodig om een link te openen.
Gebruik je de VirusTotal browser extension, dan kun je rechtsklikken en kiezen "Send URL to VirusTotal", dat is daar voor bedoeld, juist ook voor potentieel onveilige links.
Gebruik je niet de VirusTotal browser extension, dan kun je rechtsklikken en kiezen voor het kopiëren van de snelkoppeling, vervolgens naar de VirusTotal site gaan en de gekopieerde link checken. Ook dat is veilig, want ook in dat geval open je niet de verdachte pagina, maar controleer je enkel de verdachte URL.
Maar goed, je hoeft uiteraard niets, en ... het is al met al beter om uit onzekerheid onnodig voorzichtig te zijn, dan om ónvoorzichtig te zijn.
26-02-2014, 19:06 door vanegmond
Gebruik je niet de VirusTotal browser extension, dan kun je rechtsklikken en kiezen voor het kopiëren van de snelkoppeling, vervolgens naar de VirusTotal site gaan en de gekopieerde link checken. Ook dat is veilig, want ook in dat geval open je niet de verdachte pagina, maar controleer je enkel de verdachte URL.
Maar goed, je hoeft uiteraard niets, en ... het is al met al beter om uit onzekerheid onnodig voorzichtig te zijn, dan om ónvoorzichtig te zijn.

Ik heb die Virus Total Browser Extension @ Spiff.
Ik ben dan bang dat ik ipv R muis, op de L muis druk. Dus van de Redaktie is altijd veilig, logisch ook. Ik ken natuurlijk niet de bekende Leden hier, hoewel is het zelfs niet raadzaam op elke link/url gewoon te checken ? Of ben ik dan paranoia aan het worden, een compteraar die hier eens was, zei " als je niet wilt dat er wat met je PC gebeurt, moet je er een kleedje met een plant op zetten en de PC uit " Die ben ik nooit meer vergeten, soms heb ik dat wel met computers ;-)
26-02-2014, 19:46 door Spiff has left the building
Door vanegmond, 19:06 uur:
Ik heb die Virus Total Browser Extension, Spiff.
Ik ben dan bang dat ik ipv R muis, op de L muis druk.
Ik begrijp het.
Het is natuurlijk altijd belangrijk om je hoofd erbij te houden, en om je klikvingers onder controle te hebben.

Door vanegmond, 19:06 uur:
Dus van de Redactie is altijd veilig, logisch ook.
Dat zal de bedoeling zijn, maar ik kan je natuurlijk geen garanties geven.
Als je het prettig vindt kun je een link altijd eerst checken.

Door vanegmond, 19:06 uur:
Ik ken natuurlijk niet de bekende Leden hier, hoewel is het zelfs niet raadzaam op elke link/url gewoon te checken?
Of ben ik dan paranoia aan het worden?
Met elke link waarvan je niet 100% zeker weet dat die veilig is,
van elke bijdrager waarin je niet zomaar blindelings vertrouwen durft te hebben,
is het een bijzonder verstandige gewoonte om een URL altijd eerst te checken.
Sommigen zullen dat paranoïde vinden, maar onder de gebruikers op Security.NL heet dat gezond verstand :-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.