Aanvallers zijn er gisteren korte tijd in geslaagd om advertenties op Zalando.nl, Arke.nl en Groupon te krijgen die bezoekers met malware probeerden te infecteren, zo stelt de Nederlandse beveiligingsonderzoeker Yonathan Klijnsma. De advertenties waren afkomstig van AppNexus.
Dit is een platform dat in real-time online advertenties is gespecialiseerd. Via een online veiling kunnen partijen advertenties voor bepaalde websites kopen. Eén koper had advertenties op verschillende Nederlandse websites ingekocht en gebruikt voor het verspreiden van malware, zo meldde Klijnsma via Twitter. Het zou in ieder geval om Zalando.nl, Arke.nl en Groupon gaan, maar volgens Klijnsma werden meer websites door de malware getroffen.
De kwaadaardige advertenties die op de websites verschenen maakten verbinding met een IP-adres waarop de Nuclear Exploitkit draaide. Deze exploitkit maakt misbruik van beveiligingslekken in Internet Explorer, Java en Adobe Reader die niet door bezoekers waren gepatcht. Later wezen de advertenties ook naar de Angler Exploitkit, die misbruik maakt van lekken in Silverlight, Adobe Flash Player en Java.
In het geval gebruikers deze software niet up-to-date hadden, raakten ze met de Qadars banking Trojan besmet. Een Trojaans paard dat speciaal ontwikkeld is om geld van online bankrekeningen te stelen en zeer actief in Nederland is. Qadars gebruikt Androidmalware om de twee-factor authenticatie van banken te omzeilen. Op geïnfecteerde computers wordt lokaal de banksite van de gebruiker aangepast en verschijnt er een waarschuwing dat er een 'security-app' geïnstalleerd moet worden.
Deze waarschuwing is echter afkomstig van Qadars. De aanbevolen security-app is in werkelijkheid Androidmalware die inkomende mobiele TANcodes onderschept en naar de criminelen doorstuurt, zodat die ongeautoriseerde transacties kunnen uitvoeren. Na te zijn ingelicht door Klijnsma ondernam AppNexus actie en werden de kwaadaardige advertenties verwijderd.
Deze posting is gelocked. Reageren is niet meer mogelijk.