Nieuws

Overheid waarschuwt voor infectie op NU.nl

donderdag 15 maart 2012, 11:42 door Redactie, 9 reacties

De Waarschuwingsdienst waarschuwt internetgebruikers die gisteren NU.nl bezochten dat hun computer mogelijk geïnfecteerd is. Aanvallers wisten malware op de website te verstoppen die in staat is om geld van bankrekeningen te halen. "Als je computer besmet is met Sinowal kunnen kwaadwillenden gevoelige informatie zoals je inloggegevens voor een banksite of creditcardgegevens onderscheppen", aldus de Waarschuwingsdienst, die onderdeel van het Nationaal Cyber Security Center van de overheid.

De malware werd geplaatst op de computers van bezoekers die verouderde software gebruikten. De dienst kan nog niet zeggen om welke programma's het gaat, maar uit deze analyse zou blijken dat het in ieder geval Adobe Reader en Java betrof.

Infectie
"Waarschuwingsdienst.nl onderzoekt op dit moment nog de exacte kwetsbaarheden die zijn misbruikt. Mogelijk beschikken we op een later tijdstip over meer informatie over deze kwetsbaarheden."

Verder onderzoekt de overheidsinstantie op dit moment de malware. "Zodra wij meer informatie hebben over de manier waarop je je pc kunt schonen, publiceren wij dit via deze alert. Als je gisteren NU.nl hebt bezocht, raden we je dan ook aan de berichtgeving hierover in de gaten te houden."

100.000 NU.nl bezoekers mogelijk besmet met malware

Consument vindt eigen privacy 50 cent waard

Reacties (9)

15-03-2012, 11:55 door [Account Verwijderd]

[Verwijderd]

15-03-2012, 12:15 door 0101

Door pe0mot: Dankzij Sijmen Ruwhof zijn weblog (hartelijk dank!) is bekend dat er maar twee scanners dit afvangen

Waarbij wel bedacht moet worden dat dit de (zwaar geobfusceerde) JavaScript code is, niet de PDF- en Java bestanden met de daadwerkelijke exploits.

15-03-2012, 12:26 door dmaasland

Door pe0mot: Dankzij Sijmen Ruwhof zijn weblog (hartelijk dank!) is bekend dat er maar twee scanners dit afvangen:
"
Ik negeer de waarschuwing en upload het bestand naar VirusTotal. Maar 2 van de 43 virusscanners detecteren via VirusTotal de malware, namelijk:
AVG: Script/Exploit.B
Microsoft: Exploit:JS/Blacole.CV
Opmerkelijk is dat AVG en Microsoft Security Essentials allebei gratis virusscanners zijn. De commerciële scanners laten het bij VirusTotal qua resultaten afweten.
"

Let op: dit gaat alleen over het stukje javascript wat de malware ophaalt. De malware executable zelf wordt door veel meer scanners herkend.

15-03-2012, 12:54 door Anoniem

Sophos had ook detectie (Mal/ExpJS-N) voor de exploit op accent6 . in.

15-03-2012, 13:18 door Bitwiper

Door dmaasland: Let op: dit gaat alleen over het stukje javascript wat de malware ophaalt. De malware executable zelf wordt door veel meer scanners herkend.

Oh? Waar is de onderbouwing hiervan?

Helaas heb ik de via nu.nl aangeboden malware niet te pakken kunnen krijgen. Een soortgelijke java exploit, gevonden via http://www3.malekal.com/malwares/ en gisteravond door mij gedownload vanaf ingeborga.in/content/Qai.jar (gehost in NL, IP=37.58.64.197), md5=99098555be22838331907c1ebe3213f7, leverde 0/43 op bij virustotal: https://www.virustotal.com/file/4cd4d5dadd9c7b5fcf3d3728a968403067e2be7200b854619a04690a87433ea7/analysis/.

In deze qai.jar (feitelijk een zip-file) zitten 6 subclasses die mogelijk elk een andere exploit bevatten. Elk van die exploits zal proberen code op te halen door virusscanners gedetecteerd zou kunnen worden maar gezien de "ondetecteerbaarheid" van de exploits hebben de aanvallers hun huiswerk ook heus wel gedaan bij de nageladen malware.

15-03-2012, 13:46 door Anoniem

Mijn complimenten voor Waarschuwingsdienst. Daar ziet men, in tegenstelling tot Sanoma uitegers - nu.nl, kennelijk wel in wat de consequenties zijn indien de gebruikers van een van de top-sites van Nederland niet weten wat hun mogelijk is overkomen en wat men er tegen kan doen. Ik vind het van Sanoma/nu.nl zwaar onverantwoord hoe men daar omgaat met het incident. Gezien de opzet van de aanval en het aantal bezoekers van nu.nl zijn er mogelijk duizenden systemen nu besmet. Wie draait er overigens op voor de gevolgen?!?

15-03-2012, 13:47 door dmaasland

Door Bitwiper:

Door dmaasland: Let op: dit gaat alleen over het stukje javascript wat de malware ophaalt. De malware executable zelf wordt door veel meer scanners herkend.

De comments op tweakers: http://tweakers.net/nieuws/80668/nu-punt-nl-serveerde-kortstondig-malware.html en communicatie met het ESET viruslab.

15-03-2012, 13:56 door Bitwiper

Door dmaasland: De comments op tweakers: http://tweakers.net/nieuws/80668/nu-punt-nl-serveerde-kortstondig-malware.html en communicatie met het ESET viruslab.

Okay, thanks. Probleem is dat er vaak een hele zwik malware wordt gedownload.

Als niet alles meteen wordt gedetecteerd en de rootkit wel wordt geïnstalleerd, denk je wellicht dat je safe bent omdat je virusscanner alarm sloeg.

Je belangrijkste wapen tegen deze troep is patchen en niet meer plugins enablen dan strikt noodzakelijk. Ik haat bijv. PDF inline lezen in m'n browser. Geef mij maar de vraag of ik wil downloaden of direct in een PDF lezer wil openen. Krijg ik zo onverwacht een PDF popup, dan weet ik meteen dat er wat mis is.

In Internet Explorer vanaf versie 8 kun je heel redelijk per site toestaan welke plugins er mogen draaien. Indien gewenst wil ik dat nog wel een keer uitleggen.

15-03-2012, 17:02 door Anoniem

Door Bitwiper: Als niet alles meteen wordt gedetecteerd en de rootkit wel wordt geïnstalleerd, denk je wellicht dat je safe bent omdat je virusscanner alarm sloeg.

Ik heb dat een aantal jaren meegemaakt. Virusscanner slaat alarm voor een keylogger. Ik ga de boel analyseren en dan blijkt hij al 4 maanden op mijn machine te hebben gestaan voor de scanner hem kon vinden. Ik had gelukkig een firewall die ook uitgaande verbindingen (per proces) kon blokkeren. De keylogger had geen rechten om de gegevens naar buiten te sturen en dat is ook niet gedaan (ik heb daarna nooit gemerkt dat accounts misbruikt zijn).

Ik vond tijdens het onderzoek ook nog een backdoor. Die heb ik ook verwijderd, ondanks dat de scanner die niet vond. De volgende dag kreeg ik weer een melding van de scanner. Nu had hij de backdoor ook gevonden en wel in de "deleted" folder, waar ik hem even had bewaard voor andere controle.

Peter

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Information Security Officer (2fte)

Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Overheid waarschuwt voor infectie op NU.nl

Pick one:

Wachtwoord Vergeten

Password Reset

Registreren