YouTube-advertenties verspreiden malware
Aanvallers zijn erin geslaagd om via advertenties op YouTube malware te verspreiden die geld van online bankrekeningen steelt. De advertenties in kwestie maakten misbruik van een beveiligingslek in Java en werden tijdens het bekijken van een filmpje op YouTube getoond.
De advertenties wezen naar de Styx exploitkit. Deze exploitkit maakte misbruik van een Java-lek dat Oracle vorig jaar juni patchte. In het geval YouTube-bezoekers hun Java-installatie niet up-to-date hadden werd de Caphaw banking Trojan op de computer geïnstalleerd. Deze malware, ook bekend als Shylock, is speciaal ontwikkeld om gegevens voor internetbankieren, te onderscheppen. Met deze gegevens kan de malware vervolgens frauduleuze transacties verrichten.
De malware werd door 17 van de 50 virusscanners op VirusTotal herkend. Volgens Bromium Labs, dat de aanval ontdekte, zijn de aanvallers erin geslaagd om een advertentienetwerk dat op YouTube adverteert te compromitteren. Aangezien het niet om een zeer complexe aanval gaat zijn de onderzoekers verbaasd hoe de aanval uiteindelijk toch in de advertenties op YouTube terecht kon komen. Google zou inmiddels over de malware zijn ingelicht.
Reacties (22)
24-02-2014, 15:27 door
Mysterio
De malware werd door 17 van de 50 virusscanners op VirusTotal herkend.
Dit soort gegevens moeten ze meenemen in die onderzoeken naar de beste virusscanner van periode x. Wat blijkt? De scanners die altijd in de top 2 staan (Bitdefender en Kaspersky) laten het gewoon gebeuren, terwijl onze goede vriend MSE het wel detecteert. http://bromiumlabs.files.wordpress.com/2014/02/vt1.pngEen security toko dat op wordpress draait.... Hoe serieus moet je dat nemen?
Een goede ad blocker is minstens zo belangrijk als goede antivirus-software, en scheelt bovendien een hoop ergernis over irritant bewegende giffies en dat soort rommel.
Ik ben al jaren zeer tevreden over Ad Muncher ( http://www.admuncher.com ). Er komt vrijwel niets doorheen.
Ik ben al jaren zeer tevreden over Ad Muncher ( http://www.admuncher.com ). Er komt vrijwel niets doorheen.
Door Mysterio:
Ik vind dat een beetje kort de bocht.De malware werd door 17 van de 50 virusscanners op VirusTotal herkend.
Dit soort gegevens moeten ze meenemen in die onderzoeken naar de beste virusscanner van periode x. Wat blijkt? De scanners die altijd in de top 2 staan (Bitdefender en Kaspersky) laten het gewoon gebeuren, terwijl onze goede vriend MSE het wel detecteert. http://bromiumlabs.files.wordpress.com/2014/02/vt1.png"Omdat AV X malware Y kan detecteren en AV Z niet, is X beter"
Het geval is dat geen enkele AV alle malware kan tegenhouden, dus dan gaat het simpelweg om welke het meeste kan detecteren.
24-02-2014, 16:32 door
Mysterio
Door bbecko:
"Omdat AV X malware Y kan detecteren en AV Z niet, is X beter"
Het geval is simpelweg dat geen enkele AV alle malware kan tegenhouden, dus dan gaat het simpelweg om welke het meeste kan detecteren.
Nee, in dit en vergelijkbare gevallen is malware zeer kort 'beschikbaar' voor een groot publiek. Je moet dus een product hebben wat op dat moment jou beschermt en niet een week later. Dat dezelfde malware later terugkeert op ander sites is helemaal niet zo spannend, dat geloof ik wel.Door Mysterio:
Ik vind dat een beetje kort de bocht.De malware werd door 17 van de 50 virusscanners op VirusTotal herkend.
Dit soort gegevens moeten ze meenemen in die onderzoeken naar de beste virusscanner van periode x. Wat blijkt? De scanners die altijd in de top 2 staan (Bitdefender en Kaspersky) laten het gewoon gebeuren, terwijl onze goede vriend MSE het wel detecteert. http://bromiumlabs.files.wordpress.com/2014/02/vt1.png"Omdat AV X malware Y kan detecteren en AV Z niet, is X beter"
Het geval is simpelweg dat geen enkele AV alle malware kan tegenhouden, dus dan gaat het simpelweg om welke het meeste kan detecteren.
Wat je echter ziet in verschillende tests is dat producten worden getest op bekende malware en niet zozeer op malware die op dat moment actief is. Het zou heel verfrissend zijn om aan het eind van de maand een overzicht te zien van welke producten nieuwe bedreigingen meteen oppakten.
24-02-2014, 16:36 door
0101
Door Mysterio:
Van https://www.virustotal.com/nl/faq/:De malware werd door 17 van de 50 virusscanners op VirusTotal herkend.
Dit soort gegevens moeten ze meenemen in die onderzoeken naar de beste virusscanner van periode x. Why do not you include statistics comparing antivirus performance?
At VirusTotal we are tired of repeating that the service was not designed as a tool to perform antivirus comparative analyses, but as a tool that checks suspicious samples with several antivirus solutions and helps antivirus labs by forwarding them the malware they fail to detect. Those who use VirusTotal to perform antivirus comparative analyses should know that they are making many implicit errors in their methodology, the most obvious being:
- VirusTotal's antivirus engines are commandline versions, so depending on the product, they will not behave exactly the same as the desktop versions: for instance, desktop solutions may use techniques based on behavioural analysis and count with personal firewalls that may decrease entry points and mitigate propagation, etc.
- In VirusTotal desktop-oriented solutions coexist with perimeter-oriented solutions; heuristics in this latter group may be more aggressive and paranoid, since the impact of false positives is less visible in the perimeter. It is simply not fair to compare both groups.
- Some of the solutions included in VirusTotal are parametrized (in coherence with the developer company's desire) with a different heuristic/agressiveness level than the official end-user default configuration.
These are just three examples illustrating why using VirusTotal for antivirus testing is a bad idea, you can read more about VirusTotal and antivirus comparatives in our blog. The Prevx team also made an entry in their blog discussing the matter.
At VirusTotal we are tired of repeating that the service was not designed as a tool to perform antivirus comparative analyses, but as a tool that checks suspicious samples with several antivirus solutions and helps antivirus labs by forwarding them the malware they fail to detect. Those who use VirusTotal to perform antivirus comparative analyses should know that they are making many implicit errors in their methodology, the most obvious being:
- VirusTotal's antivirus engines are commandline versions, so depending on the product, they will not behave exactly the same as the desktop versions: for instance, desktop solutions may use techniques based on behavioural analysis and count with personal firewalls that may decrease entry points and mitigate propagation, etc.
- In VirusTotal desktop-oriented solutions coexist with perimeter-oriented solutions; heuristics in this latter group may be more aggressive and paranoid, since the impact of false positives is less visible in the perimeter. It is simply not fair to compare both groups.
- Some of the solutions included in VirusTotal are parametrized (in coherence with the developer company's desire) with a different heuristic/agressiveness level than the official end-user default configuration.
These are just three examples illustrating why using VirusTotal for antivirus testing is a bad idea, you can read more about VirusTotal and antivirus comparatives in our blog. The Prevx team also made an entry in their blog discussing the matter.
terwijl onze goede vriend MSE het wel detecteert.
En weet je ook. of Avast Free en andere AVG , Avira Free ze tegenhielden ?
Dus jij hebt MSE met W 7 ? Emet ?
Gisteren deed YouTube het niet, misschien door dit !
Dus alleen een AdBlocker houd zoiets tegen, of bv MSE ?
Net Youtube aan en volgens mij heeft deze nu Html 5, is Flash dus weg ?
De scanners die altijd in de top 2 staan (Bitdefender en Kaspersky) laten het gewoon gebeuren ...
BitDefender van Roemeense makelij
Kaspersky van Russische
Dat zegt genoeg zeker of niet?
24-02-2014, 21:16 door
[Account Verwijderd]
-
Bijgewerkt: 24-02-2014, 21:20
[Verwijderd]
[Verwijderd]
24-02-2014, 23:25 door
vanegmond
Wat ik tevens raar vind is het feit dat de laatste tijd F-Secure niet meer in de VirusTotal resultaten staat beschreven. Ook voor COMODO lijkt te gelden. Waarom is mij niet geheel duidelijk.
Wat ik raar vind, dat jouw link naar brobiumlabs , zie boven. Door Virustotal word neergezet als 15 van de 50 geinfecteerd !
Dus waarom zet je hier zo'n link neer ?
25-02-2014, 02:03 door
Spiff has left the building
Door vanegmond, ma.24-2, 23:25 uur:
Wat ik raar vind, dat jouw link naar brobiumlabs, zie boven. Door Virustotal word neergezet als 15 van de 50 geinfecteerd!
Dus waarom zet je hier zo'n link neer?
Welke link bedoel je?Wat ik raar vind, dat jouw link naar brobiumlabs, zie boven. Door Virustotal word neergezet als 15 van de 50 geinfecteerd!
Dus waarom zet je hier zo'n link neer?
Deze http://labs.bromium.com/2014/02/21/the-wild-wild-web-youtube-ads-serving-malware/,
of deze http://bromiumlabs.files.wordpress.com/2014/02/vt1.png?
Bij het door middel van VirusTotal checken van die adressen vind ik enkel "Clean site" resultaten, zie:
https://www.virustotal.com/nl/url/e21401ffafde5befc6d474cec4f007cc41a9b763dc475da29dd460d92758e5d6/analysis/1393289729/
https://www.virustotal.com/nl/url/c48ea368041203ff365cfe031c533f84b47e68d8e8fd7a07805ed8ee23200841/analysis/1393289741/
Ik begrijp daarom niet wat je bedoelt.
25-02-2014, 09:10 door
Mysterio
Door 0101:
Ik snap dat VirusTotal niet de vingers wil branden aan dit soort statistieken. VirusTotal zou verantwoordelijk worden gehouden voor de uitslag en dat maakt het er niet gezelliger op. Echter zou een testorgaan zoals AV-Test wel degelijk een test kunnen ontwikkelen waarbij niet alleen alles uit het verleden wordt getest, maar ook een actuele bedreiging.Door Mysterio:
Van https://www.virustotal.com/nl/faq/:De malware werd door 17 van de 50 virusscanners op VirusTotal herkend.
Dit soort gegevens moeten ze meenemen in die onderzoeken naar de beste virusscanner van periode x. Why do not you include statistics comparing antivirus performance?(..)
Wat enorm lastig is, want een malwaretoepassing als deze vereist onder andere verouderde software. Je moet daarnaast maar net in staat zijn om een actueel stuk malware te vinden en goed in te zetten.
25-02-2014, 09:27 door
EKTB
"Beveiligingslek in Java"
Dus als je geen Java hebt geïnstalleerd, is er geen infectie?
Dus Java = onveilig. Dat was toch al langer bekend?
Dus als je geen Java hebt geïnstalleerd, is er geen infectie?
Dus Java = onveilig. Dat was toch al langer bekend?
25-02-2014, 09:45 door
LightFrame
Door Mysterio:
Zie VB RAP resultaten: https://www.virusbtn.com/vb100/rap-index.xml
Daar doet Microsoft het niet best wat betreft de proactive detection.
Nog een voorbeeld, MRG Effitas time to detect tests: http://www.mrg-effitas.com/current-tests/
Je moet dus een product hebben wat op dat moment jou beschermt en niet een week later. Dat dezelfde malware later terugkeert op ander sites is helemaal niet zo spannend, dat geloof ik wel.
Wat je echter ziet in verschillende tests is dat producten worden getest op bekende malware en niet zozeer op malware die op dat moment actief is. Het zou heel verfrissend zijn om aan het eind van de maand een overzicht te zien van welke producten nieuwe bedreigingen meteen oppakten.
Wat je echter ziet in verschillende tests is dat producten worden getest op bekende malware en niet zozeer op malware die op dat moment actief is. Het zou heel verfrissend zijn om aan het eind van de maand een overzicht te zien van welke producten nieuwe bedreigingen meteen oppakten.
Zie VB RAP resultaten: https://www.virusbtn.com/vb100/rap-index.xml
Daar doet Microsoft het niet best wat betreft de proactive detection.
Nog een voorbeeld, MRG Effitas time to detect tests: http://www.mrg-effitas.com/current-tests/
25-02-2014, 15:36 door
vanegmond
Welke link bedoel je?
@ Spiff, ik heb gisteren het eerste artikel, met de eerste link naar brobiumlabs.files enz gecheckt met \Virustotal en die gaf toen aan dat 15 of 17 daarvan was geinfecteerd. Ik had ook even zo'n url moeten maken van Virustotal en dan hier neerzetten. Maar ik kijk er niet meer naar en klik het ook niet aan ! Dus men zal mij en jij ook @ Spiff maar moeten geloven.
Ik zet niet gauw zo'n opmerking neer, dat een link besmet is ! Waarom staat diezelfde link er ook steeds weer ?
25-02-2014, 15:56 door
Spiff has left the building
Door vanegmond, 15:36 uur:
[...] Waarom staat diezelfde link er ook steeds weer?
Omdat er volkomen niets mee mis is, volgens VirusTotal.[...] Waarom staat diezelfde link er ook steeds weer?
Ik weet niet wat er de oorzaak van was dat jij gisteren zulke heel andere VirusTotal resultaten vond, maar sinds ik het gisteravond laat en ook nu zonet zelf checkte is jouw resultaat niet te reproduceren.
Ik kan er daarom alleen van uitgaan dat jouw resultaten het gevolg waren van een of ander foutje.
Heb je zelf die links al opnieuw gecheckt door middel van VirusTotal?
25-02-2014, 22:16 door
vanegmond
Omdat er volkomen niets mee mis is, volgens VirusTotal.
Ik weet niet wat er de oorzaak van was dat jij gisteren zulke heel andere VirusTotal resultaten vond, maar sinds ik het gisteravond laat en ook nu zonet zelf checkte is jouw resultaat niet te reproduceren.
Ik kan er daarom alleen van uitgaan dat jouw resultaten het gevolg waren van een of ander foutje.
Heb je zelf die links al opnieuw gecheckt door middel van VirusTotal?
Ik weet niet wat er de oorzaak van was dat jij gisteren zulke heel andere VirusTotal resultaten vond, maar sinds ik het gisteravond laat en ook nu zonet zelf checkte is jouw resultaat niet te reproduceren.
Ik kan er daarom alleen van uitgaan dat jouw resultaten het gevolg waren van een of ander foutje.
Heb je zelf die links al opnieuw gecheckt door middel van VirusTotal?
Ja alleen welk foutje @ Spiff ? Ik deed R muis op die eerste link, en kreeg toen dat resultaat. Ik moet toch eigenlijk ervan uit kunnen gaan dat elke link hier vooral niks mis mee is, dus ik begrijp er niks van.
Nee ik ga die link echt niet meer aanklikken !
Een volgende keer moet ik niet vergeten die link/url hier neer te zetten. Dan is het makkelijker te achterhalen wat er mis is gegaan.
26-02-2014, 00:47 door
Spiff has left the building
Door vanegmond, di.25-2, 22:16 uur:
Ik moet toch eigenlijk ervan uit kunnen gaan dat elke link hier vooral niks mis mee is
Bij links in artikelen door de redactie kun je er redelijkerwijs vanuit gaan dat die veilig zijn.Ik moet toch eigenlijk ervan uit kunnen gaan dat elke link hier vooral niks mis mee is
Maar bij links door gebruikers kan het echter beslist nooit kwaad om zekerheidshalve extra zorgvuldig te zijn, vooral wanneer je het post-gedrag van een bepaalde gebruiker nog niet kent.
Door vanegmond, di.25-2, 22:16 uur:
Nee ik ga die link echt niet meer aanklikken!
Niemand verplicht je daartoe, dat mag voor zich spreken.Nee ik ga die link echt niet meer aanklikken!
Maar om een link te checken door middel van VirusTotal is het natuurlijk ook helemaal niet nodig om een link te openen.
Gebruik je de VirusTotal browser extension, dan kun je rechtsklikken en kiezen "Send URL to VirusTotal", dat is daar voor bedoeld, juist ook voor potentieel onveilige links.
Gebruik je niet de VirusTotal browser extension, dan kun je rechtsklikken en kiezen voor het kopiëren van de snelkoppeling, vervolgens naar de VirusTotal site gaan en de gekopieerde link checken. Ook dat is veilig, want ook in dat geval open je niet de verdachte pagina, maar controleer je enkel de verdachte URL.
Maar goed, je hoeft uiteraard niets, en ... het is al met al beter om uit onzekerheid onnodig voorzichtig te zijn, dan om ónvoorzichtig te zijn.
26-02-2014, 19:06 door
vanegmond
Gebruik je niet de VirusTotal browser extension, dan kun je rechtsklikken en kiezen voor het kopiëren van de snelkoppeling, vervolgens naar de VirusTotal site gaan en de gekopieerde link checken. Ook dat is veilig, want ook in dat geval open je niet de verdachte pagina, maar controleer je enkel de verdachte URL.
Maar goed, je hoeft uiteraard niets, en ... het is al met al beter om uit onzekerheid onnodig voorzichtig te zijn, dan om ónvoorzichtig te zijn.
Maar goed, je hoeft uiteraard niets, en ... het is al met al beter om uit onzekerheid onnodig voorzichtig te zijn, dan om ónvoorzichtig te zijn.
Ik heb die Virus Total Browser Extension @ Spiff.
Ik ben dan bang dat ik ipv R muis, op de L muis druk. Dus van de Redaktie is altijd veilig, logisch ook. Ik ken natuurlijk niet de bekende Leden hier, hoewel is het zelfs niet raadzaam op elke link/url gewoon te checken ? Of ben ik dan paranoia aan het worden, een compteraar die hier eens was, zei " als je niet wilt dat er wat met je PC gebeurt, moet je er een kleedje met een plant op zetten en de PC uit " Die ben ik nooit meer vergeten, soms heb ik dat wel met computers ;-)
26-02-2014, 19:46 door
Spiff has left the building
Door vanegmond, 19:06 uur:
Ik heb die Virus Total Browser Extension, Spiff.
Ik ben dan bang dat ik ipv R muis, op de L muis druk.
Ik begrijp het.Ik heb die Virus Total Browser Extension, Spiff.
Ik ben dan bang dat ik ipv R muis, op de L muis druk.
Het is natuurlijk altijd belangrijk om je hoofd erbij te houden, en om je klikvingers onder controle te hebben.
Door vanegmond, 19:06 uur:
Dus van de Redactie is altijd veilig, logisch ook.
Dat zal de bedoeling zijn, maar ik kan je natuurlijk geen garanties geven.Dus van de Redactie is altijd veilig, logisch ook.
Als je het prettig vindt kun je een link altijd eerst checken.
Door vanegmond, 19:06 uur:
Ik ken natuurlijk niet de bekende Leden hier, hoewel is het zelfs niet raadzaam op elke link/url gewoon te checken?
Of ben ik dan paranoia aan het worden?
Met elke link waarvan je niet 100% zeker weet dat die veilig is,Ik ken natuurlijk niet de bekende Leden hier, hoewel is het zelfs niet raadzaam op elke link/url gewoon te checken?
Of ben ik dan paranoia aan het worden?
van elke bijdrager waarin je niet zomaar blindelings vertrouwen durft te hebben,
is het een bijzonder verstandige gewoonte om een URL altijd eerst te checken.
Sommigen zullen dat paranoïde vinden, maar onder de gebruikers op Security.NL heet dat gezond verstand :-)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
