image

Telegraaf.nl verspreidt malware via Java-lek

donderdag 6 september 2012, 16:16 door Redactie, 22 reacties

Op de website van de Telegraaf hebben aanvallers kwaadaardige code geplaatst om de computers van bezoekers met een kwetsbare Java-versie te infecteren, zo laat de Waarschuwingsdienst weten. Via de aanval wordt een nep-virusscanner genaamd Live Security Platinum geïnstalleerd. Dit is een bekende vorm van scareware die slachtoffers laat geloven dat hun computer met malware is besmet. Voor het verwijderen van de malware moeten slachtoffers het programma activeren, waarvoor moet worden betaald.

Volgens de Waarschuwingsdienst is er momenteel nog geen oplossing bekend voor deze aanval. Woordvoerster Mary-Jo van de Velde laat tegenover Security.nl weten dat de aanvallers een extern bedrijf hackten dat de nieuwsbriefregistratie voor De Telegraaf verzorgt. De aanval werd in het begin van de middag bij het Nationaal Cyber Security Center (NCSC), dat ook de Waarschuwingsdienst verzorgt, bekend.

Exploit
De aanmeldlink voor de nieuwsbrief staat op de frontpage van De Telegraaf, maar bezoekers moesten eerst op de link klikken voordat het scherm met de kwaadaardige code werd getoond. Vervolgens werd via het aanmeldscherm een Java-exploit geladen die bezoekers met een verouderde Java 7-versie infecteerde, aldus de woordvoerster.

Het gaat om dezelfde exploit die eerder ook bij OmroepWest werd gebruikt. De Telegraaf heeft de gewraakte link inmiddels verwijderd.

Het bedrijf dat de nieuwsbriefregistraties verwerkt doet dit ook voor andere partijen. Daardoor bestaat het risico dat ook andere sites door de aanvallers zijn getroffen. In het geval van de Telegraaf zou het om de aanmelding op de Telesport nieuwsbrief gaan.

Update 16:31
Mark Loman van het Nederlandse anti-virusbedrijf SurfRight laat Security.nl weten dat de eerste infecties vanochtend al bij het bedrijf binnenkwamen. Loman bevestigt dat de aanvallers inderdaad via CVE-2012-4681 binnenkwamen. Afgelopen vrijdag kwam Oracle met een noodpatch voor dit lek. Wat betreft de verspreidde malware zou het voor zover bekend alleen om scareware gaan.

Het iframe in het aanmeldvenster stuurde bezoekers door naar ambareiki.com/counter.php "Vervolgens werd er verwezen naar verschillende sites, waaronder ladysarah-ecrivain.com en extremehealthmakeovers.com, die de daadwerkelijke exploit en malware hosten", aldus Loman.

Mogelijk zouden de aanvallers naast de Java-exploit ook een PDF-exploit voor een lek in Adobe Reader hebben gebruikt.

Update 16:48
SurfRight heeft sinds de eerste infecties 140 slachtoffers gezien. Daarbij gebruiken de aanvallers nu ook het domein moneymakingphones.com. De kwaadaardige links worden inmiddels ook in de X-serie 2 routers van Sitecom geblokkeerd. Live Security Platinum is via deze manier te verwijderen.

Update 16:58
"Sinds 16:00 uur zijn de links naar de malware verwijderd van de website van de Telegraaf. De website kan dus weer veilig bezocht worden", aldus een update van de Waarschuwingsdienst.

Update 17:16
"Het kan niet zo zijn dat bezoekers van onze site die naar derden worden gestuurd worden geconfronteerd met malware", stelt Jan-Kees Emmer adjunct-hoofdredacteur van De Telegraaf. "Zelfs nu het betrokken bedrijf de link naar de malware heeft verwijderd, hebben we de relatie nog niet hersteld. Dat kan pas als duidelijk is hoe dit heeft kunnen gebeuren."

Update 17:37
4 van de 42 virusscanners op VirusTotal herkennen de nep-virusscanner. Bij de downloader slaan van 5 van de 42 virusscanners alarm.

Reacties (22)
06-09-2012, 16:26 door yobi
Dus iedereen Java verwijderen van het systeem!
06-09-2012, 16:35 door Anoniem
lol, gebruik gewoon no-script.
06-09-2012, 16:45 door Anoniem
Welke ink is dit geweest dan? dan kan het in de fw nagekeken worden of er gebruik van is gemaakt.
06-09-2012, 17:05 door [Account Verwijderd]
[Verwijderd]
06-09-2012, 17:08 door Ignitem
Alleen van toepassing op Windows systemen.
06-09-2012, 17:14 door [Account Verwijderd]
[Verwijderd]
06-09-2012, 17:16 door DeliciouslyImperfect
Door Anoniem: lol, gebruik gewoon no-script.
Heb ik één dagje gedaan, en toen werd ik zo gillend gek van alles dat niet meer werkte, en het uitzoekwerk om te kijken wat er dan weer aan moest. Laat staan dat een digibeet er mee om moet gaan.
06-09-2012, 17:52 door Westly Montroos
het is wachten op een nieuwe aanval. laatste keer hebben ze www.nu.nl uitgekozen, en nu kiezen ze telegraaf.nl.
ik ben blij dat microsoft dit virus herkent en hopelijk ook verwijdert. ik heb vorige week java van mijn machine verwijderd. maar het is wachten op een nieuwe aanval.
06-09-2012, 17:57 door Rubbertje
Door DeliciouslyImperfect:
Door Anoniem: lol, gebruik gewoon no-script.
Heb ik één dagje gedaan, en toen werd ik zo gillend gek van alles dat niet meer werkte, en het uitzoekwerk om te kijken wat er dan weer aan moest. Laat staan dat een digibeet er mee om moet gaan.
Helemaal mee eens. Ik werd er ook helemaal gestoord van. Je kunt je pc wel helemaal dichttimmeren, maar het moet wel leuk blijven!
06-09-2012, 18:13 door MrBil
Nog steeds een trouwe gebruiker van NoScript en ABP. En daarbij word ik er totaal niet gek van.. maargoed, ohja Windows 7 + Google Chrome uiterraard + OpenDNS Premium ( die de URLs al had geblacklist ). Daarnaast draai ik alle vensters sandboxed.

En nee, ik heb nog nooit ( gevonden ) malware gehad. Maargoed, anders pakt mijn firewall hem wel op.
06-09-2012, 18:24 door Anoniem
@MrBil: welk merk firewall software gebruik jij ?
06-09-2012, 18:51 door [Account Verwijderd]
[Verwijderd]
06-09-2012, 20:45 door Anoniem
ik heb hem ook terwijl ik alleen aan het lezen was op de telegraaf dus gelul dat het door de nieuws brief komt.
imiddels een oplossing aan het zoeken in me veilige modus hahaha ...
me virus scanner sloeg alarm toen de virus er al op zat en aan het scannen was.
dus helaas geen pluim voor mijn betaalde beveiliging
06-09-2012, 22:10 door Security Scene Team
Door DeliciouslyImperfect:
Door Anoniem: lol, gebruik gewoon no-script.
Heb ik één dagje gedaan, en toen werd ik zo gillend gek van alles dat niet meer werkte, en het uitzoekwerk om te kijken wat er dan weer aan moest. Laat staan dat een digibeet er mee om moet gaan.

dat ligt Compleet aan je zelf. niet aan noscript. ik doe 1 gok, je ben nogal lui ingesteld?
06-09-2012, 22:14 door Security Scene Team
Door Peter V:
Alleen van toepassing op Windows systemen
Schijnveiligheid heerst bij deze gebruiker.

Door MrBil: Nog steeds een trouwe gebruiker van NoScript en ABP. En daarbij word ik er totaal niet gek van.. maargoed, ohja Windows 7 + Google Chrome uiterraard + OpenDNS Premium ( die de URLs al had geblacklist ). Daarnaast draai ik alle vensters sandboxed.

En nee, ik heb nog nooit ( gevonden ) malware gehad. Maargoed, anders pakt mijn firewall hem wel op.

kijk nog 1. leuk dat schijveiligheid spotten.
06-09-2012, 22:28 door DeliciouslyImperfect
Door Security Scene Team:
Door DeliciouslyImperfect:
Door Anoniem: lol, gebruik gewoon no-script.
Heb ik één dagje gedaan, en toen werd ik zo gillend gek van alles dat niet meer werkte, en het uitzoekwerk om te kijken wat er dan weer aan moest. Laat staan dat een digibeet er mee om moet gaan.

dat ligt Compleet aan je zelf. niet aan noscript. ik doe 1 gok, je ben nogal lui ingesteld?
Wauw, sommige mensen kunnen er echt niet tegen als je niet bereid bent tot alles om je PC veilig te houden hè.

Ja, toevallig ben ik inderdaad nogal lui ingesteld. Is het kenmerk van een goede beheerder: nooit handmatig doen wat je ook kunt automatiseren, altijd documenteren zodat je het niet steeds hoeft te vertellen, en liever 1 keer een dagje werken aan een automatisch oplossing dan 3 keer opgepiept worden.

Daarnaast ben ik vooral ook een praktisch mens. Veilig is prima, maar het moet wel leefbaar blijven. Ik heb ABP, Ghostery en ik heb in FF de autorun uitgezet (en vervolgens voor bepaalde sites weer aangezet). Ik ben niet te beroerd om iets als NoScript te proberen en heb dat recent dus ook gedaan. Vervolgens loop ik er tegenaan dat 90% van de sites die ik bezoek niet meer (geheel) werken. Vervolgens mag ik zien uit te vogelen welke van de 5 dingen, of combinatie daarvan, ik weer aan zou moeten zetten om de boel weer werkend te krijgen.
Mijn conclusie is dan ook dat ik liever het risico op een malware infectie loop. Ik vind dat ik voldoende gedaan heb om m'n PC te beschermen, en als dat onvoldoende is, jammer dan. Net zoals ik ook geen 10 sloten op de voordeur zet en het zal accepteren wanneer er ooit ingebroken wordt.
100% veiligheid is een illusie, op de PC en in het echt leven.
06-09-2012, 22:41 door cyberpunk
Ik draai ook NoScript onder Fx, maar heb Java toch verwijderd. Het enige waarvoor ik het nodig heb (had) is eID Viewer. Een programma gemaakt om onze (Belgische) elektronische identiteitskaart online te gebruiken, o.a. om belastingen in te vullen via Tax-on-web. Dat moet (gelukkig) maar eenmaal per jaar, dus heb ik besloten om Java opnieuw te verwijderen. Opnieuw, omdat ik het al eens had verwijderd, maar eID Viewer vereiste opeens Java... :-\
06-09-2012, 22:59 door Spiff has left the building
Semi off-topic:

Vanaf het moment dat het werd ingesteld heb ik het rating-systeem op Security.nl een slecht systeem gevonden.
Het systeem zou gebruikt kunnen worden om bijdragen die een duidelijke informatieve waarde bieden een positieve rating te kunnen geven, en om bijdragen met feitelijke onjuistheden, onaangenaam gedrag, of volslagen irrelevante reacties een negatieve rating te kunnen geven. Maar in plaats daarvan wordt het rating-systeem veelal gebruikt om domweg te zeggen "ik ben het niet met je eens".
Hierboven bijvoorbeeld, geven enkele gebruikers aan dat NoScript ze niet beviel, dat ze het te moeilijk vonden in het gebruik. Dat laat zien dat NoScript niet voor iedereen even goed bruikbaar is. Die bijdragen kun je beschouwen als licht informatieve bijdragen, gebaseerd op persoonlijke - en dus per definitie subjectieve - ervaringen. Gezien de subjectiviteit is het niet als onjuist te beschouwen. Waarom dan toch een negatieve rating? Volgens mij alleen maar om aan te geven dat die raters wél blij zijn met NoScipt (en bijna verontwaardigd lijken dat iemand anders een daarvan afwijkende mening heeft). Prima, geef dat dan aan met een eigen reactie, als je dat nodig vindt, maar daarvoor dient niet die rating.

Sorry hoor, maar zoals je kunt lezen ergert het rating-gedrag me nog regelmatig.
Ik probeer het te negeren, maar dat lukt me niet altijd.
Die rode minnetjes knallen immers zo in het oog, hè.
07-09-2012, 10:11 door Anoniem
Dat is een trage reactie van De Telegraaf: die nep-virusscanner was al zeker een week actief op hun site.
07-09-2012, 11:26 door Anoniem
Voor wie zijn/haar firewall logs wil doorspitten hier de gegevens die ik heb achterhaalt:

Het begint steeds allemaal bij de telegraaf :o)
Deze verwijst naar:
ambareiki . com/counter.php (193.202.110.176)

Deze verwijst over de loop van de dag naar verschillende pagina's:
2012-09-06 07:12
athletictapeinfo . com/12965183.html (66.7.201.56) (plugin detectie script)
athletictapeinfo . com/33256.jar (66.7.201.56) (java exploit)
athletictapeinfo . com/88770.jar (66.7.201.56)

2012-09-06 10:32
crystal-matrix . eu/18625183.html (207.45.178.74)
crystal-matrix . eu/33256.jar (207.45.178.74)
crystal-matrix . eu/88770.jar (207.45.178.74)
crystal-matrix . eu/Ini.class (207.45.178.74)
crystal-matrix . eu/Ini/class.class (207.45.178.74)

2012-09-06 12:08
almogador . net/92475183.html (207.45.178.74)
almogador . net/88770.jar (207.45.178.74)
almogador . net/33256.jar (207.45.178.74)
almogador . net/Ini.class (207.45.178.74)
almogador . net/Ini/class.class (207.45.178.74)

2012-09-06 13:19
freebiezone . info/41915183.html (184.95.59.66)
- freebiezone . info/88770.jar (184.95.59.66)
- freebiezone . info/33256.jar (184.95.59.66)
- freebiezone . info/Ini.class (184.95.59.66)
- freebiezone . info/Ini/class.class (184.95.59.66)

2012-09-06 14:19
ladysarah-ecrivain . com/83475183.html (217.147.201.221)
- ladysarah-ecrivain . com/88770.jar (217.147.201.221)
- ladysarah-ecrivain . com/33256.jar (217.147.201.221)
- ladysarah-ecrivain . com/Ini.class (217.147.201.221)
- ladysarah-ecrivain . com/Ini/class.class (217.147.201.221)
07-09-2012, 12:00 door yobi
Vele mensen zullen de site van Telegraaf toevoegen als vertrouwde site in NoScript.

Wat beter helpt is in Windows naast het administrator account ook een normaal gebruikers account toe te voegen. Er is voor normale taken goed mee te werken. Natuurlijk geeft ook dat geen 100% bescherming. De schade wordt meestal wel beperkt.

Verder updaten en overbodige software verwijderen.
07-09-2012, 16:47 door Nietsnut
Door Peter V:
Alleen van toepassing op Windows systemen
Schijnveiligheid heerst bij deze gebruiker.


Graag wat bewijs van je of roept je maar weer wat dus graag wat bewijs dat ik met mijn Ubuntu 12.04.1 LTS ook kwetsbaar voor dit verhaal ben.

Maar ik help je alvast --- Via de aanval wordt een nep-virusscanner genaamd Live Security Platinum geïnstalleerd.

Onmogelijk dus in mijn geval.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.