Malware op Telegraaf.nl verspreidde zich via Javalekken
De website van de Telegraaf heeft vandaag enkele uren lang advertenties getoond die probeerden om bezoekers met malware te infecteren. Daarbij werden twee beveiligingslekken in Java gebruikt, zo meldt het Delftse beveiligingsbedrijf Fox-IT, dat als eerste het incident opmerkte. Via de advertenties werden bezoekers naar de FlimKit exploit-kit doorgestuurd.
Deze exploit-kit maakt misbruik van CVE-2012-1723 en CVE-2013-2423, twee lekken in Java die Oracle in respectievelijk juni 2012 en april 2013 patchte. Zodra bezoekers de krantensite met een verouderde Java-versie bezochten, werden er via de exploit een DLL- en EXE-bestand geïnstalleerd. Het gaat om ransomware die de computer vergrendelt en een bericht van de 'Politie Nederland' toont. Om weer toegang te krijgen moeten slachtoffers 100 euro betalen.
"Het vreemde aan het geheel is dat het op in Nederland gebaseerde servers wordt gehost en dat de DGA (Domain Generation Algorithm - red) domeinen zich ook in Nederland bevinden, wat zeer bijzonder is", aldus beveiligingsspecialist Yonathan Klijnsma. De IP-adressen die de door de exploit-kit en malware worden gebruikt zijn 128.204.202.41 en 46.182.106.96.
Herinstallatie
"Omdat de malware alle interactie met de desktop blokkeert en verschillende registersleutels wijzigt, is die zeer lastig om handmatig of automatisch te verwijderen", stelt Klijnsma. "Er is echter een oplossing om de malware uit te schakelen zodat je je bestanden kunt back-uppen en een herinstallatie kan doen."
Deze methode werkt alleen als er een andere account op de machine beschikbaar is. In dit geval moet de machine in Veilige Modus worden herstart en via dit andere account in netwerkmodus worden gestart. Vervolgens is het mogelijk om de bestanden van de malware te verwijderen en uiteindelijk een back-up te maken.
Register
"De malware maakt verschillende aanpassingen aan het register en het opruimen van al die aanpassingen is tijdsintensief en niet per definitie succesvol", besluit de beveiligingsspecialist. Om de malware te verwijderen kunnen gebruikers ook de gratis verwijdertool HitmanPro.Kickstart gebruiken.
Uit recente onderzoeken blijkt dat veel gebruikers en bedrijven met verouderde Java-versies werken die soms jaren lang niet worden geüpdatet.
j/k , niet altijd mogelijk.
Maar na nu.nl , en nu de telegraaf zou het zinvol zijn om op z'n minst van advertentie sites te eisen dat ze voldoen aan voorwaarden. Dit kost de Telegraaf meer geld dan ze verdienen met advertenties..
Jan.
Waarschijnlijk zijn voornamelijk bedrijven getroffen want 94% van miljoenen onderzochte computers hebben daar een oude versie van Java en zijn dus vatbaar voor elke exploit aanval. Deze bedrijven 'kunnen' (willen) niet upgraden omdat een bedrijfsapplicatie dan niet meer werkt, er door de leverancier ervan veel geld wordt gevraagd of geen support meer levert, met als gevolg dat data van jan en alleman op straat komt te liggen (herinner je Dorifel en Pobelka, beide Citadel-malware die op 150.000 Nederlandse systemen maandenlang ongezien bleven op machines met up-to-date antivirussoftware, en oude Java). Een oude versie van Java wordt echt enorm onderschat - er zou een postbus 51 spotje op tv moeten komen...
-Mark
Gepatcht in Juni 2012?! Wat zijn dat voor mensen die hun systeem een jaar lang niet updaten? Misschien is een computer rrijbewijs zo'n slecht idee nog niet.
Wat zijn dat voor mensen dat ze malware toelaten op hun platform? Letten ze daar niet op ofzo?
Dat vind ik heel wat erger dan iemand die zijn locale pc'tje niet op orde heeft.
Heb wel eens een reactie gezien van zo'n advertentie platform en dat was dan zo van "We kunnen niet ..." nou
dan is mijn reactie vrij simpel: als jullie niet kunnen dan blokkeer ik je gewoon. Niet-kunners die hoef ik niet op
mijn computer.
Een advertentieserver hoeft alleen maar een JPG of GIF plaatje af te leveren, het gaat al fout op het moment dat
er weer javascript en iframes tussen zitten. Ze hebben zelf een onveilige omgeving gebouwd, als dat kennelijk
gebaseerd is op onkunde nou jammer dan, de blocklist is geduldig.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.