Nieuws

Google Analytics verbergt kwaadaardig script

dinsdag 15 juni 2010, 09:25 door Redactie, 14 reacties

Op dit moment is er een aanval gaande waarbij gehackte websites worden voorzien van een script dat Google Analytics gebruikt om zich te verbergen en als doel heeft het infecteren van bezoekers. Door het gebruik van Google Analytics, waarmee websites bezoekersaantallen kunnen meten, zouden de aanvallers onderzoekers op het verkeerde been willen zetten, aldus Lee Graves van beveiligingsbedrijf eSoft. "Onderzoekers zien deze code zo vaak, dat het bijna nooit een tweede keer wordt bekeken."

Op een aantal gehackte websites trof eSoft Google Analytics aan dat werd gebruikt om kwaadaardige scripts te verbergen. De gebruikte JavaScript code vermeldt netjes het domein van Google, maar tijdens het decoderen van het script blijkt dat er een niet werkende 'sr tag' wordt gebruikt. Daar achter staat een wel werkende 'src tag', die naar een kwaadaardig script op een ander domein wijst. Graves adviseert onderzoekers bij het analyseren van een gehackte website om nogmaals naar de Google Analytics code te kijken.

Nederlanders kwetsbaar door gratis downloads

"Adobe-hackers ook achter Internet Explorer zero-day"

Reacties (14)

15-06-2010, 10:20 door Korund

Ben ik even blij dat ik met NoScript google-analytics als onbetrouwbaar heb aangemerkt.

15-06-2010, 10:57 door sjonniev

Door Carborundum: Ben ik even blij dat ik met NoScript google-analytics als onbetrouwbaar heb aangemerkt.

Idem dito!

15-06-2010, 11:49 door Anoniem

Volgens mij is dat nu juist de clue. Het script haalt geen gegevens van google-analytics maar van een andere server

15-06-2010, 11:57 door Anoniem

@Carborundum:
Dat mag dan wel zo zijn. Maar ze vertellen hier over een niet werkende (foute) sr tag met de Google Analytics en een goede src tag met het andere. Dus NoScript zal dit niet zien als Google Analytics, en toch de code uitvoeren.

Dat is teminste wat ik denk.

Captcha 4 keer fout, moet niet gekker worden.

15-06-2010, 11:59 door Anoniem

kunnen jullie wel lezen? Het is niet het google analytics script dat hier de 'evil' script is. Het is een simpele meelifttechniek die hier gebruikt wordt. Wederom is het een misleidende artikel titel. Het woord 'klakkeloos' komt steeds vaker in me op bij online nieuwsdiensten.

15-06-2010, 13:13 door Dev_Null

Hier nog een :-)

15-06-2010, 13:14 door U4iA

Door Carborundum: Ben ik even blij dat ik met NoScript google-analytics als onbetrouwbaar heb aangemerkt.

Het heeft helemaal niets met Google Analytics zelf te maken. Het gaat om de java scriptcode in een HTML pagina die misbruikt maakt van de code van Google door een src (source) verwijzing naar een andere pagina toe te sturen ipv naar Google zelf. Google Analytics blokkeren heeft dus geen zin omdat de code niet verwijst naar Google Analytics. NoScript heeft in dit geval alleen zin omdat het java sciptcode uit zet.

15-06-2010, 14:01 door Necrowizard

[...] Google Analytics blokkeren heeft dus geen zin omdat de code niet verwijst naar Google Analytics. NoScript heeft in dit geval alleen zin omdat het java sciptcode uit zet.

Als ze het op Google Analytics willen laten lijken, noemen ze hun script waarschijnlijk ook gewoon ga.js.. dus dat dit script niet hetzelfde doet als een echt ga.js script maakt NoScript niet veel uit, die blokkeert het gewoon

15-06-2010, 14:48 door [Account Verwijderd]

[Verwijderd]

15-06-2010, 17:02 door Anoniem

Door Anoniem: @Carborundum:
Dat mag dan wel zo zijn. Maar ze vertellen hier over een niet werkende (foute) sr tag met de Google Analytics en een goede src tag met het andere. Dus NoScript zal dit niet zien als Google Analytics, en toch de code uitvoeren.

Dat is teminste wat ik denk.

Nee, NoScript blokkeert de uitvoering van alle scripts die je niet expliciet goedkeurt. Untrusted sites worden niet meer getoond in het menu waarmee je scripts kan activeren.

Je hebt alleen gelijk als de NoScript gebruiker "Temporarily allow top level sites by default" of "Allow Scripts Globally" aan heeft staan, dan werken de untrusted sites als blacklist, maar dat wordt nadrukkelijk afgeraden.

15-06-2010, 18:29 door spatieman

waarom die -1 bij die gasten.
ze hebben gelijk

16-06-2010, 19:00 door [Account Verwijderd]

[Verwijderd]

02-08-2010, 14:10 door Anoniem

Leuke security test van de NSA

01-11-2010, 21:42 door Anoniem

Maar ... hoe krijg jet die trojan eruit? Telkens als ik hem denk te hebben verwijderd blijkt hij toch weer terug te zijn.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Is geen nieuwe auto krijgen ook al schade onder de AVG?

20-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik las in een recent arrest dat een garagebedrijf onder de AVG(!) aansprakelijk werd gehouden voor een ...

12 reacties

Lees meer