image

Telegraaf.nl verspreidt malware via advertenties

donderdag 1 augustus 2013, 10:09 door Redactie, 23 reacties

De website van de Telegraaf verspreidt weer malware via kwaadaardige advertenties. Dat meldt Ronald Prins van het Delftse beveiligingsbedrijf Fox-IT via Twitter. "Telegraaf .nl serveert malware via advertentie provider. Ze zijn er mee bezig." Het is niet de eerste keer dat er malware op de krantensite wordt aangetroffen. Vorig jaar september was het ook al raak.

Toen wisten aanvallers toegang te krijgen tot de server van een bedrijf dat de nieuwsbriefregistraties voor de Telegraaf verwerkt. In het aanmeldscherm werd aanvalscode voor een Java-lek verstopt dat Oracle de week daarvoor had gepatcht. Via de aanval raakten ongepatchte bezoekers met ZeroAccess-malware geïnfecteerd.

Update 11:10
Prins laat via Twitter weten dat via de Telegraaf aangevallen Windows-computers met ransomware worden geïnfecteerd. Het 'politievirus' vergrendelt de computer en stelt dat het slachtoffer een misdrijf heeft begaan. Om weer toegang tot de computer te krijgen moet er binnen 72 uur een bedrag van 100 euro via Ukash of een PaySafeCard worden betaald.

Update 11:38
Ook de Telegraaf bevestigt de aanwezigheid van malware op de website: "We zijn op de hoogte van de malware. We zijn ermee bezig."

Update 12:03
Volgens Yonathan Klijnsma wezen de besmette advertenties naar de Flimkit exploit-kit. Via welk lek bezoekers werden aangevallen is nog niet bekend, maar de geinstalleerde malware werd door respectievelijk 7 en 10 van de 46 virusscanners op VirusTotal gedetecteerd.

Klijnsma laat weten dat Telegraaf.nl niet meer naar de malware wijst, maar dat de gebruikte advertentieprovider dat nog wel doet. Daardoor lopen ook andere websites waar deze provider wordt gebruikt risico.

Update 12:15
Mark Loman van het Nederlandse beveiligingsbedrijf SurfRight laat tegenover Security.NL weten dat inmiddels zeker 100 mensen door de malware besmet zijn geraakt. Dat blijkt uit cijfers die via de gratis verwijdertool HitmanPro.Kickstart werden verzameld.

Update 12:25
Bezoekers met zeer verouderde Java-versies werden via de malware aangevallen. Het beveiligingslek dat de advertenties misbruikten werd in juni 2012 door Oracle gepatcht.

Reacties (23)
01-08-2013, 10:23 door Anoniem
Ik heb de redactie van de telegraaf 2x keer toe een mailtje
geschreven over 2 verschillende infecties op verschillende datums.

Avast 8 Free vond en maakte meldingen van trojan infecties op de telegraaf site.
in het framework,ze waren er mee bezig om het op te lossen.
01-08-2013, 10:31 door Anoniem
Welke advertentie provider is het? Dan kan ik die even blacklisten.
01-08-2013, 10:34 door [Account Verwijderd]
[Verwijderd]
01-08-2013, 10:43 door johanw
Inderdaad, en in alle ongevraagde adviesen van beveiligingsbedrijven mis ik de adblocker altijd. Ze zijn zeker bang voor ruzie met andere bedrijven als ze die aanraaden.
01-08-2013, 10:45 door Anoniem
Door 77cros: Kan bij mij niet gebeuren. Adblock.

Adblock is geen garantie dat de malware tegen wordt gehouden.
01-08-2013, 10:47 door Dennixx
Door 77cros: Kan bij mij niet gebeuren. Adblock.
Goh wat naïef
01-08-2013, 10:48 door [Account Verwijderd]
[Verwijderd]
01-08-2013, 10:58 door [Account Verwijderd]
[Verwijderd]
01-08-2013, 11:16 door potshot
Door 77cros: Check van onze eigen systemen doorgevoerd.
Geen malwarebesmetting opgelopen, alhoewel de site toch bezocht was. Adblock heeft zijn werk duidelijk gedaan.

of je java was gepatched..en dus niet infecteerbaar.
01-08-2013, 11:19 door Anoniem
Door johanw: Inderdaad, en in alle ongevraagde adviesen van beveiligingsbedrijven mis ik de adblocker altijd. Ze zijn zeker bang voor ruzie met andere bedrijven als ze die aanraaden.
Prins zegt ook niet welk advertentiebedrijf erachter zit. Normaal zou hij wel wijzen op de bron van een probleem
maar deze bedrijven daar wil hij geen ruzie mee hebben natuurlijk.
01-08-2013, 11:32 door Anoniem
Door potshot:
of je java was gepatched..en dus niet infecteerbaar.
Sinds wanneer is een gepatchte Java niet infecteerbaar???
Je kunt deze infecties wel voorkomen met een paar simpele maatregelen, maar uptodate houden van de software
is daarvan niet de meest effectieve. (getuige het feit dat iedere update altijd weer gevolgd wordt door een nieuwe
update waarin weer lekken gefixed worden die in de vorige versie zaten)
01-08-2013, 12:04 door Spiff has left the building
Door potshot:
of je java was gepatched..en dus niet infecteerbaar.
Weten we dan al dat Java de aanvalsvector was?
Dat gold vorig jaar september (en Java is hoe dan ook vaak aanvalsvector), maar is dat nu ook het geval?
Ik heb nog geen bron gezien die dat aangeeft.

Update
Inmiddels is nu wél weer duidelijk dat ook nu Java aanvalsvector was, aldus update 12:25 in het Security.nl artikel:
Bezoekers met zeer verouderde Java-versies werden via de malware aangevallen.
Het beveiligingslek dat de advertenties misbruikten werd in juni 2012 door Oracle gepatcht.
01-08-2013, 12:21 door [Account Verwijderd]
[Verwijderd]
01-08-2013, 12:42 door Anoniem
Jammer dat telegraaf wel melding maakt van storing op rabobank.nl en niets over hun eigen "storing" ...
01-08-2013, 12:48 door [Account Verwijderd]
[Verwijderd]
01-08-2013, 13:17 door Mysterio
Door 77cros:
Door potshot:
Door 77cros: Check van onze eigen systemen doorgevoerd.
Geen malwarebesmetting opgelopen, alhoewel de site toch bezocht was. Adblock heeft zijn werk duidelijk gedaan.

of je java was gepatched..en dus niet infecteerbaar.
man, der zit bij ons niet eens java op.
En je weet zeker dat javascript uitgeschakeld staat in je browser?
01-08-2013, 13:27 door Anoniem
Is er een IP bekend van de server waar de malware op stond ?
01-08-2013, 13:31 door fsdsdfdsf
Door Mysterio:
Door 77cros:
Door potshot:
Door 77cros: Check van onze eigen systemen doorgevoerd.
Geen malwarebesmetting opgelopen, alhoewel de site toch bezocht was. Adblock heeft zijn werk duidelijk gedaan.

of je java was gepatched..en dus niet infecteerbaar.
man, der zit bij ons niet eens java op.
En je weet zeker dat javascript uitgeschakeld staat in je browser?

Ja want javascript is hetzelfde als java... *ahum*not*ahum*

Hier een linkje voor Mysterio =)
http://www.java.com/en/download/faq/java_javascript.xml
01-08-2013, 14:15 door johanw
Door Anoniem: Welke advertentie provider is het? Dan kan ik die even blacklisten.

Waarom zoveel moeite doen, blokkeer ze gewoon allemaal met een generieke adblocker. Scheelt ook een hoop traffic en andere ellende, en de websites zien er een stuk beter uit ook.
01-08-2013, 14:38 door Anoniem
Door johanw:
Door Anoniem: Welke advertentie provider is het? Dan kan ik die even blacklisten.
Waarom zoveel moeite doen, blokkeer ze gewoon allemaal met een generieke adblocker. Scheelt ook een hoop traffic en andere ellende, en de websites zien er een stuk beter uit ook.
Zelf draai ik thuis en op het werk wel adblock+, maar de "normale gebruikers" niet.
Ik kan dit niet zomaar bedrijfsbreed gaan uitrollen zonder een wijzigingsprocedure te doorlopen met allerlei overleg.
Echter, als een advertentieprovider gehacked is dan is het een beveiligings issue en dan gaat ie subiet (en permanent)
in de blocklist van de proxy. Vandaar dat ik wil weten welke provider het was.
(niet dat dit soort aanvallen een kans maakt op onze systemen, maar dat is een ander verhaal)
01-08-2013, 14:56 door Anoniem
En de hamvraag is, kan een slachtoffer de Telegraaf voor dit ongemak aansprakelijk stellen!
Immers van een organisatie van de orde als de Telegraaf mag de bezoeker verwachten dat
de bescherming tegen dit soort terrorisme optimaal is. Ook al heeft de consument een verouderde
versie van Sun Java dan is de Telegraaf mischien toch wel verantwoordelijk te stellen wanneer
via hun website bij een bezoeker wordt ingebroken.
Helaas is er nog geen jurisprudentie over.
01-08-2013, 16:24 door Anoniem
Door Anoniem: En de hamvraag is, kan een slachtoffer de Telegraaf voor dit ongemak aansprakelijk stellen!
Ja dat zou een goede zaak zijn! Dan zou de juridische afdeling van de Telegraaf (en andere grote bedrijven) de
webjongetjes meteen verbieden om nog gebruik te maken van externe providers voor advertenties, omdat daarmee
een aansprakelijkheid aangegaan wordt voor iets wat men niet zelf onder controle heeft.
Als iedereen nou zijn eigen advertenties host dan kan iedereen ook zelf bepalen welke adverteerders en advertenties
er binnen komen, en deze screenen op malware alvorens ze naar de site door te laten.
Zo niet -> dan aansprakelijk.
01-08-2013, 18:18 door Anoniem

Update 12:15
Mark Loman van het Nederlandse beveiligingsbedrijf SurfRight laat tegenover Security.NL weten dat inmiddels zeker 100 mensen door de malware besmet zijn geraakt. Dat blijkt uit cijfers die via de gratis verwijdertool HitmanPro.Kickstart werden verzameld.

In ieder geval 100 mensen die of de privacy policy (Terms of Use?) van gebruikte software niet hadden gelezen of bewust ervoor kiezen scaninfo (ook 'gratis') te 'delen'.
Niet erg misschien als je deze malware ermee af krijgt, evengoed helemaal niet gek je ervan bewust te zijn wat software nog meer doet op je pc.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.