Telegraaf.nl verspreidt malware via Java-lek
Op de website van de Telegraaf hebben aanvallers kwaadaardige code geplaatst om de computers van bezoekers met een kwetsbare Java-versie te infecteren, zo laat de Waarschuwingsdienst weten. Via de aanval wordt een nep-virusscanner genaamd Live Security Platinum geïnstalleerd. Dit is een bekende vorm van scareware die slachtoffers laat geloven dat hun computer met malware is besmet. Voor het verwijderen van de malware moeten slachtoffers het programma activeren, waarvoor moet worden betaald.
Volgens de Waarschuwingsdienst is er momenteel nog geen oplossing bekend voor deze aanval. Woordvoerster Mary-Jo van de Velde laat tegenover Security.nl weten dat de aanvallers een extern bedrijf hackten dat de nieuwsbriefregistratie voor De Telegraaf verzorgt. De aanval werd in het begin van de middag bij het Nationaal Cyber Security Center (NCSC), dat ook de Waarschuwingsdienst verzorgt, bekend.
Exploit
De aanmeldlink voor de nieuwsbrief staat op de frontpage van De Telegraaf, maar bezoekers moesten eerst op de link klikken voordat het scherm met de kwaadaardige code werd getoond. Vervolgens werd via het aanmeldscherm een Java-exploit geladen die bezoekers met een verouderde Java 7-versie infecteerde, aldus de woordvoerster.
Het gaat om dezelfde exploit die eerder ook bij OmroepWest werd gebruikt. De Telegraaf heeft de gewraakte link inmiddels verwijderd.
Het bedrijf dat de nieuwsbriefregistraties verwerkt doet dit ook voor andere partijen. Daardoor bestaat het risico dat ook andere sites door de aanvallers zijn getroffen. In het geval van de Telegraaf zou het om de aanmelding op de Telesport nieuwsbrief gaan.
Update 16:31
Mark Loman van het Nederlandse anti-virusbedrijf SurfRight laat Security.nl weten dat de eerste infecties vanochtend al bij het bedrijf binnenkwamen. Loman bevestigt dat de aanvallers inderdaad via CVE-2012-4681 binnenkwamen. Afgelopen vrijdag kwam Oracle met een noodpatch voor dit lek. Wat betreft de verspreidde malware zou het voor zover bekend alleen om scareware gaan.
Het iframe in het aanmeldvenster stuurde bezoekers door naar ambareiki.com/counter.php "Vervolgens werd er verwezen naar verschillende sites, waaronder ladysarah-ecrivain.com en extremehealthmakeovers.com, die de daadwerkelijke exploit en malware hosten", aldus Loman.
Mogelijk zouden de aanvallers naast de Java-exploit ook een PDF-exploit voor een lek in Adobe Reader hebben gebruikt.
Update 16:48
SurfRight heeft sinds de eerste infecties 140 slachtoffers gezien. Daarbij gebruiken de aanvallers nu ook het domein moneymakingphones.com. De kwaadaardige links worden inmiddels ook in de X-serie 2 routers van Sitecom geblokkeerd. Live Security Platinum is via deze manier te verwijderen.
Update 16:58
"Sinds 16:00 uur zijn de links naar de malware verwijderd van de website van de Telegraaf. De website kan dus weer veilig bezocht worden", aldus een update van de Waarschuwingsdienst.
Update 17:16
"Het kan niet zo zijn dat bezoekers van onze site die naar derden worden gestuurd worden geconfronteerd met malware", stelt Jan-Kees Emmer adjunct-hoofdredacteur van De Telegraaf. "Zelfs nu het betrokken bedrijf de link naar de malware heeft verwijderd, hebben we de relatie nog niet hersteld. Dat kan pas als duidelijk is hoe dit heeft kunnen gebeuren."
Update 17:37
4 van de 42 virusscanners op VirusTotal herkennen de nep-virusscanner. Bij de downloader slaan van 5 van de 42 virusscanners alarm.
ik ben blij dat microsoft dit virus herkent en hopelijk ook verwijdert. ik heb vorige week java van mijn machine verwijderd. maar het is wachten op een nieuwe aanval.
En nee, ik heb nog nooit ( gevonden ) malware gehad. Maargoed, anders pakt mijn firewall hem wel op.
imiddels een oplossing aan het zoeken in me veilige modus hahaha ...
me virus scanner sloeg alarm toen de virus er al op zat en aan het scannen was.
dus helaas geen pluim voor mijn betaalde beveiliging
dat ligt Compleet aan je zelf. niet aan noscript. ik doe 1 gok, je ben nogal lui ingesteld?
En nee, ik heb nog nooit ( gevonden ) malware gehad. Maargoed, anders pakt mijn firewall hem wel op.
kijk nog 1. leuk dat schijveiligheid spotten.
dat ligt Compleet aan je zelf. niet aan noscript. ik doe 1 gok, je ben nogal lui ingesteld?
Ja, toevallig ben ik inderdaad nogal lui ingesteld. Is het kenmerk van een goede beheerder: nooit handmatig doen wat je ook kunt automatiseren, altijd documenteren zodat je het niet steeds hoeft te vertellen, en liever 1 keer een dagje werken aan een automatisch oplossing dan 3 keer opgepiept worden.
Daarnaast ben ik vooral ook een praktisch mens. Veilig is prima, maar het moet wel leefbaar blijven. Ik heb ABP, Ghostery en ik heb in FF de autorun uitgezet (en vervolgens voor bepaalde sites weer aangezet). Ik ben niet te beroerd om iets als NoScript te proberen en heb dat recent dus ook gedaan. Vervolgens loop ik er tegenaan dat 90% van de sites die ik bezoek niet meer (geheel) werken. Vervolgens mag ik zien uit te vogelen welke van de 5 dingen, of combinatie daarvan, ik weer aan zou moeten zetten om de boel weer werkend te krijgen.
Mijn conclusie is dan ook dat ik liever het risico op een malware infectie loop. Ik vind dat ik voldoende gedaan heb om m'n PC te beschermen, en als dat onvoldoende is, jammer dan. Net zoals ik ook geen 10 sloten op de voordeur zet en het zal accepteren wanneer er ooit ingebroken wordt.
100% veiligheid is een illusie, op de PC en in het echt leven.
Vanaf het moment dat het werd ingesteld heb ik het rating-systeem op Security.nl een slecht systeem gevonden.
Het systeem zou gebruikt kunnen worden om bijdragen die een duidelijke informatieve waarde bieden een positieve rating te kunnen geven, en om bijdragen met feitelijke onjuistheden, onaangenaam gedrag, of volslagen irrelevante reacties een negatieve rating te kunnen geven. Maar in plaats daarvan wordt het rating-systeem veelal gebruikt om domweg te zeggen "ik ben het niet met je eens".
Hierboven bijvoorbeeld, geven enkele gebruikers aan dat NoScript ze niet beviel, dat ze het te moeilijk vonden in het gebruik. Dat laat zien dat NoScript niet voor iedereen even goed bruikbaar is. Die bijdragen kun je beschouwen als licht informatieve bijdragen, gebaseerd op persoonlijke - en dus per definitie subjectieve - ervaringen. Gezien de subjectiviteit is het niet als onjuist te beschouwen. Waarom dan toch een negatieve rating? Volgens mij alleen maar om aan te geven dat die raters wél blij zijn met NoScipt (en bijna verontwaardigd lijken dat iemand anders een daarvan afwijkende mening heeft). Prima, geef dat dan aan met een eigen reactie, als je dat nodig vindt, maar daarvoor dient niet die rating.
Sorry hoor, maar zoals je kunt lezen ergert het rating-gedrag me nog regelmatig.
Ik probeer het te negeren, maar dat lukt me niet altijd.
Die rode minnetjes knallen immers zo in het oog, hè.
Het begint steeds allemaal bij de telegraaf :o)
Deze verwijst naar:
ambareiki . com/counter.php (193.202.110.176)
Deze verwijst over de loop van de dag naar verschillende pagina's:
2012-09-06 07:12
athletictapeinfo . com/12965183.html (66.7.201.56) (plugin detectie script)
athletictapeinfo . com/33256.jar (66.7.201.56) (java exploit)
athletictapeinfo . com/88770.jar (66.7.201.56)
2012-09-06 10:32
crystal-matrix . eu/18625183.html (207.45.178.74)
crystal-matrix . eu/33256.jar (207.45.178.74)
crystal-matrix . eu/88770.jar (207.45.178.74)
crystal-matrix . eu/Ini.class (207.45.178.74)
crystal-matrix . eu/Ini/class.class (207.45.178.74)
2012-09-06 12:08
almogador . net/92475183.html (207.45.178.74)
almogador . net/88770.jar (207.45.178.74)
almogador . net/33256.jar (207.45.178.74)
almogador . net/Ini.class (207.45.178.74)
almogador . net/Ini/class.class (207.45.178.74)
2012-09-06 13:19
freebiezone . info/41915183.html (184.95.59.66)
- freebiezone . info/88770.jar (184.95.59.66)
- freebiezone . info/33256.jar (184.95.59.66)
- freebiezone . info/Ini.class (184.95.59.66)
- freebiezone . info/Ini/class.class (184.95.59.66)
2012-09-06 14:19
ladysarah-ecrivain . com/83475183.html (217.147.201.221)
- ladysarah-ecrivain . com/88770.jar (217.147.201.221)
- ladysarah-ecrivain . com/33256.jar (217.147.201.221)
- ladysarah-ecrivain . com/Ini.class (217.147.201.221)
- ladysarah-ecrivain . com/Ini/class.class (217.147.201.221)
Wat beter helpt is in Windows naast het administrator account ook een normaal gebruikers account toe te voegen. Er is voor normale taken goed mee te werken. Natuurlijk geeft ook dat geen 100% bescherming. De schade wordt meestal wel beperkt.
Verder updaten en overbodige software verwijderen.
Graag wat bewijs van je of roept je maar weer wat dus graag wat bewijs dat ik met mijn Ubuntu 12.04.1 LTS ook kwetsbaar voor dit verhaal ben.
Maar ik help je alvast --- Via de aanval wordt een nep-virusscanner genaamd Live Security Platinum geïnstalleerd.
Onmogelijk dus in mijn geval.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
