image

'Malware op Zalando, Arke en Groupon door advertenties'

dinsdag 18 maart 2014, 10:34 door Redactie, 23 reacties

Aanvallers zijn er gisteren korte tijd in geslaagd om advertenties op Zalando.nl, Arke.nl en Groupon te krijgen die bezoekers met malware probeerden te infecteren, zo stelt de Nederlandse beveiligingsonderzoeker Yonathan Klijnsma. De advertenties waren afkomstig van AppNexus.

Dit is een platform dat in real-time online advertenties is gespecialiseerd. Via een online veiling kunnen partijen advertenties voor bepaalde websites kopen. Eén koper had advertenties op verschillende Nederlandse websites ingekocht en gebruikt voor het verspreiden van malware, zo meldde Klijnsma via Twitter. Het zou in ieder geval om Zalando.nl, Arke.nl en Groupon gaan, maar volgens Klijnsma werden meer websites door de malware getroffen.

Exploits

De kwaadaardige advertenties die op de websites verschenen maakten verbinding met een IP-adres waarop de Nuclear Exploitkit draaide. Deze exploitkit maakt misbruik van beveiligingslekken in Internet Explorer, Java en Adobe Reader die niet door bezoekers waren gepatcht. Later wezen de advertenties ook naar de Angler Exploitkit, die misbruik maakt van lekken in Silverlight, Adobe Flash Player en Java.

In het geval gebruikers deze software niet up-to-date hadden, raakten ze met de Qadars banking Trojan besmet. Een Trojaans paard dat speciaal ontwikkeld is om geld van online bankrekeningen te stelen en zeer actief in Nederland is. Qadars gebruikt Androidmalware om de twee-factor authenticatie van banken te omzeilen. Op geïnfecteerde computers wordt lokaal de banksite van de gebruiker aangepast en verschijnt er een waarschuwing dat er een 'security-app' geïnstalleerd moet worden.

Deze waarschuwing is echter afkomstig van Qadars. De aanbevolen security-app is in werkelijkheid Androidmalware die inkomende mobiele TANcodes onderschept en naar de criminelen doorstuurt, zodat die ongeautoriseerde transacties kunnen uitvoeren. Na te zijn ingelicht door Klijnsma ondernam AppNexus actie en werden de kwaadaardige advertenties verwijderd.

Image

Reacties (23)
18-03-2014, 10:47 door Anoniem
naar welk IP adres werd/wordt verbinding gemaakt dan?
18-03-2014, 10:57 door Jan M
Hoe kunnen de aanvallers exploits in java en adobe gaan gebruiken? Lijkt mij dat je als beheerder van een site als Zalando er toch wel voor zorgt dat alles up to date is?
18-03-2014, 11:08 door Anoniem
Door Jan M: Hoe kunnen de aanvallers exploits in java en adobe gaan gebruiken? Lijkt mij dat je als beheerder van een site als Zalando er toch wel voor zorgt dat alles up to date is?

Correct Jan, maar het probleem is dat die sites ingeframede code gebruiken voor marketing doeleinden. Dat is in feite code van een derde partij in dit geval AppNexus die ingesloten is in de website... en daar heb je geen controle over.
18-03-2014, 11:10 door Anoniem
Door Jan M: Hoe kunnen de aanvallers exploits in java en adobe gaan gebruiken? Lijkt mij dat je als beheerder van een site als Zalando er toch wel voor zorgt dat alles up to date is?

Ze misbruiken exploits in de pc van de bezoeker, niet van de server. Een beheerder kan natuurlijk niet zorgen dat de bezoeker zijn software up-to-date heeft ;)
18-03-2014, 11:17 door Anoniem
Ook spitsnieuws geeft mij meldingen (sophos)
18-03-2014, 11:24 door Anoniem
Door Jan M: Hoe kunnen de aanvallers exploits in java en adobe gaan gebruiken? Lijkt mij dat je als beheerder van een site als Zalando er toch wel voor zorgt dat alles up to date is?
??? Die aanvallers hebben advertentieruimte ingekocht. De payload was niet voor de websites maar voor de bezoekers bedoeld.

Lang leve NotScript & AdBlock.
18-03-2014, 11:32 door Mysterio
Door Jan M: Hoe kunnen de aanvallers exploits in java en adobe gaan gebruiken? Lijkt mij dat je als beheerder van een site als Zalando er toch wel voor zorgt dat alles up to date is?
Het probleem zit h'm aan de kant van de bezoekers.
18-03-2014, 11:36 door Preddie - Bijgewerkt: 18-03-2014, 11:37
Door Jan M: Hoe kunnen de aanvallers exploits in java en adobe gaan gebruiken? Lijkt mij dat je als beheerder van een site als Zalando er toch wel voor zorgt dat alles up to date is?

Eeuh .... jan.... dit is een clientside probleem.

De beheerder van een website kan er weinig aan doen dat haar bezoekers hun software niet up-to-date hebben. Jij als bezoeker van webpagina's moet zorgen dat je programmatuur waarmee je de website "leest" up-to-date hebt, denk aan je browser en plugins zoals PDF-readers (w.o. adobe) en Java.
18-03-2014, 11:43 door johanw
Door Predjuh:De beheerder van een website kan er weinig aan doen dat haar bezoekers hun software niet up-to-date hebben. Jij als bezoeker van webpagina's moet zorgen dat je programmatuur waarmee je de website "leest" up-to-date hebt, denk aan je browser en plugins zoals PDF-readers (w.o. adobe) en Java.
En niet te vergeten je addblocker natuurlijk.
18-03-2014, 11:45 door Anoniem
Door Jan M: Hoe kunnen de aanvallers exploits in java en adobe gaan gebruiken? Lijkt mij dat je als beheerder van een site als Zalando er toch wel voor zorgt dat alles up to date is?

De website is niet gehackt, er werd een advertentie geplaatst. Die voert zijn eigen zaakjes uit en dus nu malware
18-03-2014, 11:48 door Jan M
Door Predjuh:
Door Jan M: Hoe kunnen de aanvallers exploits in java en adobe gaan gebruiken? Lijkt mij dat je als beheerder van een site als Zalando er toch wel voor zorgt dat alles up to date is?

Eeuh .... jan.... dit is een clientside probleem.

De beheerder van een website kan er weinig aan doen dat haar bezoekers hun software niet up-to-date hebben. Jij als bezoeker van webpagina's moet zorgen dat je programmatuur waarmee je de website "leest" up-to-date hebt, denk aan je browser en plugins zoals PDF-readers (w.o. adobe) en Java.

Oke dat begrijp ik. Maar dan nog vraag ik mij af hoe een adverteerder zomaar malware kan plaatsen? Worden deze advertenties niet gecontroleerd? Of stel ik nu domme vragen ?:P
18-03-2014, 11:50 door Anoniem
MVPS hosts file installeren scheelt al een hele berg ellende.

http://winhelp2002.mvps.org/hosts.htm
18-03-2014, 13:26 door Jan M - Bijgewerkt: 18-03-2014, 13:27
bedankt voor alle reacties, verhaal is me nu een stuk duidelijker. Eigenlijk moeilijk te voorkomen dus.
18-03-2014, 13:32 door Anoniem
AdBlocker geinstalleerd i.c.m. meest recente Chrome versie.

succes met de besmettingspoging.
18-03-2014, 13:37 door [Account Verwijderd] - Bijgewerkt: 18-03-2014, 13:37
[Verwijderd]
18-03-2014, 15:13 door Preddie
Door Jan M:
Door Predjuh:
Door Jan M: Hoe kunnen de aanvallers exploits in java en adobe gaan gebruiken? Lijkt mij dat je als beheerder van een site als Zalando er toch wel voor zorgt dat alles up to date is?

Eeuh .... jan.... dit is een clientside probleem.

De beheerder van een website kan er weinig aan doen dat haar bezoekers hun software niet up-to-date hebben. Jij als bezoeker van webpagina's moet zorgen dat je programmatuur waarmee je de website "leest" up-to-date hebt, denk aan je browser en plugins zoals PDF-readers (w.o. adobe) en Java.

Oke dat begrijp ik. Maar dan nog vraag ik mij af hoe een adverteerder zomaar malware kan plaatsen? Worden deze advertenties niet gecontroleerd? Of stel ik nu domme vragen ?:P

Beste Jan,

in heel veel gevallen worden advertenties niet gecontroleerd en worden zelfs geautomatiseerd geplaatst. Dit maakt het beheren van advertentie ruimtes erg makkelijk voor de beheerders van een webpagina, anderzijds betekent dit ook een groot risico voor de (reputatie)reclame industrie.

Als minder mensen reclame bekijken dalen de inkomsten voor advertenties, als advertentie naar dat ze irritant zijn ook nog gevaarlijk worden voor de gebruiker zal deze steeds meer maatregelen nemen om dit risico te beperken door bijv. te voorkomen dat advertenties worden ingeladen. Het gevolg: door advertenties niet te controleren is de reclame industrie zijn eigen graf aan het graven.

Ook is de vraag waar ze precies om moeten controleren, sommige advertenties worden direct vanaf het hoofddomein ingeladen andere worden vanaf een externe locatie ingeladen waardoor je eventuele broncode niet of beperkt kunt controleren.Er zijn veel verschillende methode die je kunt gebruiken om schadelijke codes te camoufleren, zoals Peter V zegt kunnen kwaadwillende gebruik maken van Iframe die een grote hebben van 0 bij 0 pixels (onzichtbaar dus). Het aantal technieken is eigenlijk te veel om hier allemaal te beschrijven.....

Hoe te voorkomen vraag je je dan af ?

met een aantal maatregelen kun je al heel erg veel problemen voorkomen. Belangrijk is om je browser en plugins altijd onder een gebruikersaccount aan te roepen en nooit via een gebuikersaccount met beheerders- of administratorrechten (mocht je dit nog niet doen, gebruik laatste genoemde accounts alleen voor het wijzigen van configuratieinstellingen of het installeren/wijzigen/verwijderen van installaties.)

Blokkeer javascript binnen de browser (veel schadelijk code wordt geactiveerd middels javascript), iets makkelijker is om een plugin als NoScript te installeren binnen de browser (niet alle website van tegenwoordig zijn te gebruiken zonder javascript). Hiermee kun je relatief makkelijk javascript inschakelen als je dit nodigt heb en kan je daarnaast ook nog beschermen tegen andere gevaren zoals Iframes en Cross Site Scripting.
Verder kun je ook nog een ad-blocker installeren, die zorgt er niet alleen voor dat je websites rustiger kunt bekijken maar helpt je in sommige gevallen ook de te beschermen .....

Nog even kort over MVPS, dit is niet echt een oplossing. Hiermee zorgt je er voor dat verkeer naar domeinen waarvan bekende is dat ze mogelijk schadelijk zijn wordt door gestuurd naar 127.0.0.1 of te wel jou lokale machine. Wanneer het schadelijk domein onderdeel is van de lijst zal het je mogelijk kunnen beschermen maar op nieuwe/onbekende domeinen wordt niet gedetecteerd. Wanneer je standaard javascript middels NoScript blokkeert ben je inprincipe altijd beschermd, ook bij onbekende domein.....

Jan M, ik hoop dat je hier wat van hebt en dat je vraag hiermee beantwoord is !
18-03-2014, 15:26 door Jan M
Door Predjuh:
Door Jan M:
Door Predjuh:
Door Jan M: Hoe kunnen de aanvallers exploits in java en adobe gaan gebruiken? Lijkt mij dat je als beheerder van een site als Zalando er toch wel voor zorgt dat alles up to date is?

Eeuh .... jan.... dit is een clientside probleem.

De beheerder van een website kan er weinig aan doen dat haar bezoekers hun software niet up-to-date hebben. Jij als bezoeker van webpagina's moet zorgen dat je programmatuur waarmee je de website "leest" up-to-date hebt, denk aan je browser en plugins zoals PDF-readers (w.o. adobe) en Java.

Oke dat begrijp ik. Maar dan nog vraag ik mij af hoe een adverteerder zomaar malware kan plaatsen? Worden deze advertenties niet gecontroleerd? Of stel ik nu domme vragen ?:P

Beste Jan,

in heel veel gevallen worden advertenties niet gecontroleerd en worden zelfs geautomatiseerd geplaatst. Dit maakt het beheren van advertentie ruimtes erg makkelijk voor de beheerders van een webpagina, anderzijds betekent dit ook een groot risico voor de (reputatie)reclame industrie.

Als minder mensen reclame bekijken dalen de inkomsten voor advertenties, als advertentie naar dat ze irritant zijn ook nog gevaarlijk worden voor de gebruiker zal deze steeds meer maatregelen nemen om dit risico te beperken door bijv. te voorkomen dat advertenties worden ingeladen. Het gevolg: door advertenties niet te controleren is de reclame industrie zijn eigen graf aan het graven.

Ook is de vraag waar ze precies om moeten controleren, sommige advertenties worden direct vanaf het hoofddomein ingeladen andere worden vanaf een externe locatie ingeladen waardoor je eventuele broncode niet of beperkt kunt controleren.Er zijn veel verschillende methode die je kunt gebruiken om schadelijke codes te camoufleren, zoals Peter V zegt kunnen kwaadwillende gebruik maken van Iframe die een grote hebben van 0 bij 0 pixels (onzichtbaar dus). Het aantal technieken is eigenlijk te veel om hier allemaal te beschrijven.....

Hoe te voorkomen vraag je je dan af ?

met een aantal maatregelen kun je al heel erg veel problemen voorkomen. Belangrijk is om je browser en plugins altijd onder een gebruikersaccount aan te roepen en nooit via een gebuikersaccount met beheerders- of administratorrechten (mocht je dit nog niet doen, gebruik laatste genoemde accounts alleen voor het wijzigen van configuratieinstellingen of het installeren/wijzigen/verwijderen van installaties.)

Blokkeer javascript binnen de browser (veel schadelijk code wordt geactiveerd middels javascript), iets makkelijker is om een plugin als NoScript te installeren binnen de browser (niet alle website van tegenwoordig zijn te gebruiken zonder javascript). Hiermee kun je relatief makkelijk javascript inschakelen als je dit nodigt heb en kan je daarnaast ook nog beschermen tegen andere gevaren zoals Iframes en Cross Site Scripting.
Verder kun je ook nog een ad-blocker installeren, die zorgt er niet alleen voor dat je websites rustiger kunt bekijken maar helpt je in sommige gevallen ook de te beschermen .....

Nog even kort over MVPS, dit is niet echt een oplossing. Hiermee zorgt je er voor dat verkeer naar domeinen waarvan bekende is dat ze mogelijk schadelijk zijn wordt door gestuurd naar 127.0.0.1 of te wel jou lokale machine. Wanneer het schadelijk domein onderdeel is van de lijst zal het je mogelijk kunnen beschermen maar op nieuwe/onbekende domeinen wordt niet gedetecteerd. Wanneer je standaard javascript middels NoScript blokkeert ben je inprincipe altijd beschermd, ook bij onbekende domein.....

Jan M, ik hoop dat je hier wat van hebt en dat je vraag hiermee beantwoord is !

Predjuh,

Duidelijk verhaal, heb inderdaad antwoord op mijn vraag nu :) direct maar eens even een adblocker installeren en java plugins uitschakelen.
19-03-2014, 00:42 door waaromdan
Door Predjuh: Eeuh .... jan.... dit is een clientside probleem.
Jij als bezoeker van webpagina's moet zorgen dat je programmatuur waarmee je de website "leest" up-to-date hebt.

Dat vind ik een beetje te kort door de bocht.
Ja de bezoeker moet zijn software up-to-date hebben.
Ja de webmaster kan er weinig aan doen.
Maar de reclamenetwerken kunnen wel veel meer investeren in pre-scanning van de advertenties. Echter, zij dragen niet de directe schade, de websites worden er op aangekeken door de gewone bezoeker. De netwerken moeten in een gecontroleerde omgeving streng toezicht houden op de advertenties die zij hosten. Dit is blijkbaar nog niet goed geregeld. Websites zouden gederfde inkomsten direct moeten kunnen verhalen op het reclamenetwerk. Dan zorgt de advertentie industrie echt wel dat hun advertenties aan de strengste voorwaarden voldoen. 100% kan niet. Wel optimaal.

1 + 1 = 2
19-03-2014, 08:16 door Anoniem
Door waaromdan: Dat vind ik een beetje te kort door de bocht.
... reclamenetwerken kunnen wel veel meer investeren in pre-scanning van de advertenties ...
Dan zorgt de advertentie industrie echt wel dat hun advertenties aan de strengste voorwaarden voldoen.
Online reclame's zijn dynamisch en veelal "gepersonaliseerd" en zijn dus ten alle tijden aan te passen, uitgebreide controle vooraf zet geen zoden aan de dijk.

Daarbij is de aansprakelijkheid een doorgeefluik, website -> ad-boer / cdn -> (niet-bestaande) opdrachtgever, alles via grensoverschrijdende trajecten. Een internationale, civiele procedure gaat hier echt niet werken.
Ook zijn alle ad-boeren die ik ken relatief eenvoudig te misbruiken, behaalde rendementen in het verleden zeggen helemaal niets over de toekomst, nog buiten het feit dat ad-boeren niet wakker kunnen liggen van click-fraude e.d.
Jij wil ongeïnteresseerde partijen verantwoordelijk maken / houden voor jouw online veiligheid? Dat vind ik weer een beetje kort door de bocht...

Het meest verstandige is het voorkomen van besmetting bij de eindgebruiker d.m.v. verantwoordelijk gebruik, script- & ad-blockers, updates, browser-instellingen, etc.
19-03-2014, 08:48 door Anoniem
Door waaromdan:
Door Predjuh: Eeuh .... jan.... dit is een clientside probleem.
Jij als bezoeker van webpagina's moet zorgen dat je programmatuur waarmee je de website "leest" up-to-date hebt.

Dat vind ik een beetje te kort door de bocht.
Ja de bezoeker moet zijn software up-to-date hebben.
Ja de webmaster kan er weinig aan doen.
Maar de reclamenetwerken kunnen wel veel meer investeren in pre-scanning van de advertenties. Echter, zij dragen niet de directe schade, de websites worden er op aangekeken door de gewone bezoeker. De netwerken moeten in een gecontroleerde omgeving streng toezicht houden op de advertenties die zij hosten. Dit is blijkbaar nog niet goed geregeld. Websites zouden gederfde inkomsten direct moeten kunnen verhalen op het reclamenetwerk. Dan zorgt de advertentie industrie echt wel dat hun advertenties aan de strengste voorwaarden voldoen. 100% kan niet. Wel optimaal.

1 + 1 = 2

Het draait allemaal om geld; als je goede SLA's afspreekt met je banner boeren en evt zelfs filtering opzet (denk aan het blokkeren van bepaalde banner software (ahum OpenX).
Ja dit kost je geld, maar als ik nu kijk hoe meer en meer mensen uit wantrouwen en ergernis adblockers installeren en je reputatieschade oploopt zal dit een aflopende
19-03-2014, 10:12 door Mysterio
Los van of dat Zalando en zo verantwoordelijk zijn voor de content van de reclameruimte zijn ze wel eindverantwoordelijk voor de gehele website. Loop je dus schade op bij het bezoeken van zo'n site dan is het zeker de moeite waard om het proberen te verhalen op het bedrijf. Hoe zij dat verder intern regelen is hun probleem.

Stel dat ik naar de supermarkt ga en daar staat een meneer van Remia met een pannetje met proefhapjes. Dankzij een ongelukkigheid gooit deze meneer zijn pannetje met vet om en iemand die niet op let valt om en breekt een heup. Ja, die persoon die viel had moeten uitkijken en nee, de supermarkt is niet verantwoordelijk voor die meneer en zijn geklungel, maar de supermarkt is eindverantwoordelijke voor de veiligheid in en om dat pand.
19-03-2014, 13:55 door Preddie
Door waaromdan:
Door Predjuh: Eeuh .... jan.... dit is een clientside probleem.
Jij als bezoeker van webpagina's moet zorgen dat je programmatuur waarmee je de website "leest" up-to-date hebt.

Dat vind ik een beetje te kort door de bocht.
Ja de bezoeker moet zijn software up-to-date hebben.
Ja de webmaster kan er weinig aan doen.
Maar de reclamenetwerken kunnen wel veel meer investeren in pre-scanning van de advertenties. Echter, zij dragen niet de directe schade, de websites worden er op aangekeken door de gewone bezoeker. De netwerken moeten in een gecontroleerde omgeving streng toezicht houden op de advertenties die zij hosten. Dit is blijkbaar nog niet goed geregeld. Websites zouden gederfde inkomsten direct moeten kunnen verhalen op het reclamenetwerk. Dan zorgt de advertentie industrie echt wel dat hun advertenties aan de strengste voorwaarden voldoen. 100% kan niet. Wel optimaal.

1 + 1 = 2

Leuk dat je dat kort door de bocht vind, maar zo werkt het.

Volgens mij heb je geen idee hoe deze netwerken opereren, tenminste deze conclusie trek ik uit je reactie.

Je kan wel stellen dat iets niet goed geregeld is maar kom dan zelf met een concrete oplossing en niet met dat relatieve gebrabbel ....
Wat bedoel je met pre-scanning? Waar moet men op scannen ? Hoe gaat dit er uit zien? Wat bedoel je met streng toezien? En wat zijn de strengste voorwaarden ? Of zijn deze nog niet opgesteld?
22-03-2014, 12:54 door Anoniem
Iemand toevallig virustotal links van deze malware?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.