Aanvallers hebben een exploit op de populaire nieuwssite NU.nl verstopt en gebruikt om bezoekers met een gevaarlijk Trojaans paard te infecteren. De infectie was tegen gebruikers van verouderde software zoals Java, Flash Player en Adobe Reader gericht. De drive-by download zat waarschijnlijk verstopt in een advertentie, zegt Mark Loman van beveiligingsbedrijf SurfRight tegenover Security.nl. Loman ontdekte de exploit per toeval toen hij een demonstratie gaf. (In een update meldt SurfRight later dat de aanvaller het script op de webserver verstopt had en het niet om een kwaadaardige advertentie ging)
"Opeens werd er om Java gevraagd, maar ik heb helemaal geen Java geïnstalleerd." Vervolgens installeerde de onderzoeker Fiddler om het verkeer te analyseren. De exploit bleek vanaf een Indiase server te worden aangeboden, die vanwege alle drukte "werd gebombardeerd", merkt Loman op. Bij bedrijven zouden al tientalen infecties zijn waargenomen. SurfRight hoopt later met meer details over infecties bij consumenten te komen.
Java
De Java-exploit werd vervolgens gebruikt om een aangepaste versie van de Sinowal malware te installeren. Deze rootkit is ontwikkeld om bankrekeningen te legen en infecteert de Master Boot Record. Geen enkele van de 43 virusscanners op VirusTotal.com detecteerde de malware. Java is de afgelopen maanden massaal gebruikt om computers te infecteren.
Veel gebruikers vergeten de software, die vaak grote lekken bevat, te updaten, waardoor het bezoeken van een gehackte of kwaadaardige website volstaat. Om de aanvalscode toch op populaire websites te krijgen, gebruiken de aanvallers advertenties, ook wel malvertising genaamd. De malware zou inmiddels niet meer worden aangeboden.
Update 14:10
Zoals eerder vermeld zat de aanval niet in een advertentie verstopt maar had de aanvaller toegang tot de webserver. Daar plaatste hij een script dat de exploit van de Indiase server downloadde. De malware werd tussen 11:30 en 12:30 aangeboden. "Waarschijnlijk had lunchtijd er iets mee te maken", zegt Erik Loman tegen Security.nl.
Hij vermoedt dat het om een gerichte aanval gaat. In het uur werd de locatie van de server nog een keer aangepast, wat betekent dat de aanvaller nog toegang had. De reden hiervoor was dat de eerste server het verkeer niet aankon. De aangeboden exploits zijn onderdeel van het 'Nuclear Exploit Pack' die verschillende exploits gebruikt, waaronder Adobe Reader, Flash Player en Java.
Update 14:22
Een woordvoerster van Sanoma kon nog niet op de zaak reageren.
Update 16:10
NU.nl laat op de eigen website weten dat de inloggegevens van het Content Management Systeem (CMS) in verkeerde handen is geraakt. Toen de aanval bekend werd zou de nieuwssite alle accounts van beheerders en redactie hebben afgesloten en opnieuw uitgegeven. Tevens werden alle ‘logs’ veiliggesteld en worden die nu, net als alle content, op mogelijke kwaadaardige code onderzocht.
"De site wordt nu geheel opnieuw geïnstalleerd, wat naar verwachting rond 02.00 zal zijn afgerond. Zowel intern als extern worden extra veiligheidsscans uitgevoerd. We stellen bovendien een uitgebreid onderzoek in en daar waar mogelijk worden er verbeteringen aangebracht."
Deze posting is gelocked. Reageren is niet meer mogelijk.