image

NRC Handelsblad verspreidde Banking Trojan

dinsdag 13 november 2012, 13:02 door Redactie, 20 reacties

De malware die vanochtend via de websites van het NRC Handelsblad werd verspreid blijkt een beruchte banking Trojan te zijn. Het gaat om de Sinowal-malware, speciaal ontwikkeld voor het stelen van geld van online bankrekening, zo blijkt uit analyse van het Nederlandse beveiligingsbedrijf SurfRight. Aanvallers wisten kwaadaardige advertenties met een exploit op de site te krijgen. Het ging om een exploit voor een recent gepatcht Java-lek.

Wie met een kwetsbare Java-installatie de website bezocht werd automatisch geïnfecteerd. Het gaat om kwetsbaarheid CVE-2012-5076, waarvoor onlangs nog een exploit aan hackertool Metasploit werd toegevoegd.

Mark Loman van SurfRight laat tegenover Security.nl weten dat de pagina waar de kwaadaardige advertenties gebruikers naar doorstuurde, de Blackhole Exploit-kit 2.0 bevatte. Dit is een populaire exploit-kit onder cybercriminelen en is verantwoordelijk voor de meeste infecties via 'drive-by downloads'.

Naast het Java-lek gebruiken de aanvallers ook een lek in Adobe Flash Player om de malware te verspreiden. Het gaat om kwetsbaarheid CVE-2011-0611, waar sinds vorig jaar april een update voor beschikbaar is.

Advertentie
NRC gebruikt voor het weergeven van de advertenties de software van het Belgische bedrijf Adhese. Adhese is zelf geen adverteerder, maar ontwikkelt alleen advertentiesystemen. "Wij maken software waarmee een reklameregie zoals die van NRC zelf advertenties kan serven en rapporteren, een adserver dus", zegt Tim Sturtewagen, CTO van Adhese, tegenover Security.nl..

"De concrete advertentie die bij NRC voor problemen zorgde werd noch door ons gemaakt, noch door ons gehost. Het gaat hier om een verwijzing in een extern JavaScript bestand dat opgeladen werd door het reclamebureau dat de advertentie maakt."

Volgens Sturtewagen laat de software uitgevers zelf beslissen indien men third party tags (en dus externe JavaScripts) toelaat als advertentie. "Dat is ook de oorzaak van dit probleem. Alle advertenties die bij ons gehost worden, worden gecontroleerd alvorens ze in een campagne toegelaten worden. Indien zich daar dus ongewilde onderdelen in bevinden, houden we die ook wel degelijk tegen, nog voor ze online kunnen verschijnen."

"Onze files voor NRC worden gehost onder pool.nrc.adhese.com, en zoals je kan zien bij bvb. google is dat domain nog nooit drager of intermediary van malware geweest. Onze setup is niet toegankelijk via FTP, de bestanden die we hosten kunnen enkel over onze applicatie online komen, en worden dus telkens gereviewed."

Sturtewagen stelt dat dit 'spijtig genoeg' niet mogelijk voor advertenties van derden is. "Omdat daar uiteindelijk vanuit de client een request gebeurt naar de adserver van de adverteerder. Dus indien het basis JS bestand aanvaard wordt door de uitgever, kan de adverteerder daarna uiteindelijk linken naar waar hij maar wil. Er is dus ook nooit toegang geweest op de adhese servers, de bestanden die de malware bevatten werden gehost op het Content Delivery Network (CDN) waar enkel het reclamebureau toegang toe heeft, niet op een Adhese server."

Scan
NRC Handelsblad adviseerde bezoekers die voor zeven uur 's ochtends de websites nrc.nl en nrcnext.nl hadden bezocht om het systeem met een virusscanner te scannen.

Uit cijfers van VirusTotal blijkt dat alleen Avast, G Data en Kaspersky Lab de exploit detecteren. De malware zelf wordt door Avast, Sophos, AntiVir en G Data herkend.

Update - 13:53: reactie Adhese toegevoegd
UIpdate 2 - 14:40: informatie over Flash-lek, tweede reactie Adhese toegevoegd

Reacties (20)
13-11-2012, 13:17 door Anoniem
Adhese heeft zijn laatste advertentie geserved hier.
Better be safe than sorry.
13-11-2012, 13:30 door alexNL
Je vraagt je toch af hoe vaak dit nog moet gebeuren voordat nrc, nu en vele anderen zelf weer gewoon hun bannering gaan doen en deze onder geen beding extern laten inladen..

Voor de gewone huis tuin en keuken computer gebruiker is het inmiddels vrijwel onmogelijk om normaal te internetten zonder een vergroot risico te lopen. Ik weet dat dit een bekend java probleem is, maar patchen duurt even en niet iedereen heeft zin om iedere keer dat hij zijn pc aanzet eerst adobe, java, windows update en verder te updaten en pas 15 minuten na de succesvolle boot te beginnen.
13-11-2012, 13:38 door Anoniem
Weer een reden om Java van je PC te gooien!!!
13-11-2012, 13:39 door Anoniem
Oplossing: disable Java in de browser

je mist dan wel wat functionaliteit, maar er zijn mij wat teveel lekken die wat te laat gepatcht worden
13-11-2012, 14:14 door Anoniem
AdBlocker of NoScript wil ook al iets helpen ... en verder inderdaad geen Java en Acrobat gebruiken (#1 en #2 exploited software).
13-11-2012, 14:47 door alexNL
Dat werkt leuk, totdat je het nodig hebt en toch weer moet aanzetten. Zou een addon moeten komen dat je "enable java for the next X minutes" kan doen ... vraag is alleen of je het uit/aan kan zetten zonder dat je de browser in zn geheel moet restarten.

Volgens mij kan je slecht zonder. . Dat automagische adresboek laden bij overboekingen bij de ABN, lijkt me java/ajax .. werkt het zonder?
13-11-2012, 14:59 door AdVratPatat
Door alex.nl: Dat werkt leuk, totdat je het nodig hebt en toch weer moet aanzetten. Zou een addon moeten komen dat je "enable java for the next X minutes" kan doen ... vraag is alleen of je het uit/aan kan zetten zonder dat je de browser in zn geheel moet restarten.
Oplossing: Java "click to play" instellen en "NotScript" extensie toevoegen aan je browser, geeft je alle vrijheid en functionaliteit die je zocht...
13-11-2012, 15:14 door Anoniem
Iframe zat in:
hXXp://adhese.cdn01.rambla.be/nrc/devilads/visit-norway-201210/columnad.js

tsja... je moet maar geloven wat ze zeggen, maar voor mij ziet dit er gewoon uit als de schuld van Adhese. Lullen als brugman om maar geen klanten te verliezen... uiteindelijk serveren ze toch die troep.
13-11-2012, 15:17 door Anoniem
"Sturtewagen stelt dat dit 'spijtig genoeg' niet mogelijk voor advertenties van derden is. "Omdat daar uiteindelijk vanuit de client een request gebeurt naar de adserver van de adverteerder. Dus indien het basis JS bestand aanvaard wordt door de uitgever, kan de adverteerder daarna uiteindelijk linken naar waar hij maar wil."

Ja daarom zou je dat als adserver niet toe moeten laten.
Om dit soort vergissingen te voorkomen blacklist ik een adserver altijd meteen als het mis gaat.
Je leeft als adserver dus in borrowed time. Advertenties kun je laten zien tot je een fout maakt, daarna niet meer.

Ik snap dat het een hard leven is, maar zo is het nou eenmaal.
13-11-2012, 15:26 door AdVratPatat
Door Anoniem: Weer een reden om Java van je PC te gooien!!!
JS (JavaScript) is wat anders dan JRE (JavaRuntimeEnviroment van Oracle).
Goede tip om JRE van je systeem te gooien, beetje jammer dat je daarmee nog steeds kwetsbaar bent.
13-11-2012, 15:39 door choi
Door Anoniem: Adhese heeft zijn laatste advertentie geserved hier.
Better be safe than sorry.

Je hebt het niet echt begrepen he?
13-11-2012, 15:55 door Anoniem
Door AdVratPatat:
Door Anoniem: Weer een reden om Java van je PC te gooien!!!
JS (JavaScript) is wat anders dan JRE (JavaRuntimeEnviroment van Oracle).
Goede tip om JRE van je systeem te gooien, beetje jammer dat je daarmee nog steeds kwetsbaar bent.

Huh, volgens mij staat in het artikel toch echt:

... Naast het Java-lek gebruiken de aanvallers ook een lek in Adobe Flash Player om de malware te verspreiden. Het gaat om kwetsbaarheid CVE-2011-0611, waar sinds vorig jaar april een update voor beschikbaar is....
13-11-2012, 15:55 door Anoniem
Waarschuwing- Deze site bezoeken kan schade toebrengen aan uw computer!

Suggesties:
Ga terug naar de vorige pagina en kies een ander resultaat.
Probeer een andere zoekopdracht om de gewenste informatie te vinden.
Of u kunt op eigen risico doorgaan naar http://www.nrc.nl/. Ga voor meer informatie over de problemen die we hebben aangetroffen naar Google's diagnosepagina voor 'Veilig surfen' voor deze site.

~
Nog steeds dus
13-11-2012, 16:20 door RickDeckardt
Goeie reden om een adblocker te draaien
13-11-2012, 16:29 door Anoniem
Door Anoniem: Waarschuwing- Deze site bezoeken kan schade toebrengen aan uw computer!

Suggesties:
Ga terug naar de vorige pagina en kies een ander resultaat.
Probeer een andere zoekopdracht om de gewenste informatie te vinden.
Of u kunt op eigen risico doorgaan naar http://www.nrc.nl/. Ga voor meer informatie over de problemen die we hebben aangetroffen naar Google's diagnosepagina voor 'Veilig surfen' voor deze site.

~
Nog steeds dus

Dit soort mededelingen wordt ingeschakeld als de betreffende zoekmachine of malwareblocklijst in de gaten
heeft dat er problemen zijn en blijft dan staan tot er een nieuw bezoek geweest is waarbij alles OK was.
Het is dus niet zo dat deze mededeling vanzelf verdwijnt als het probleem is opgelost.
13-11-2012, 16:55 door AdVratPatat
Door Anoniem:
Door AdVratPatat:
Door Anoniem: Weer een reden om Java van je PC te gooien!!!
JS (JavaScript) is wat anders dan JRE (JavaRuntimeEnviroment van Oracle).
Goede tip om JRE van je systeem te gooien, beetje jammer dat je daarmee nog steeds kwetsbaar bent.

Huh, volgens mij staat in het artikel toch echt:

... Naast het Java-lek gebruiken de aanvallers ook een lek in Adobe Flash Player om de malware te verspreiden. Het gaat om kwetsbaarheid CVE-2011-0611, waar sinds vorig jaar april een update voor beschikbaar is....
Ja dat klopt helemaal, en naast wat er op Google.nl allemaal over JS te vinden is, staat er in het artikel ook:
"Volgens Sturtewagen laat de software uitgevers zelf beslissen indien men third party tags (en dus externe JavaScripts) toelaat als advertentie."
13-11-2012, 16:56 door AdVratPatat
Door RickDeckardt: Goeie reden om een adblocker te draaien
En dat vraag ik me dus oprecht af:
http://secure.security.nl/artikel/43916/1/Extensies%2C_Add-ons_en_meer.html


EDIT: tot op heden blokkeert Chrome nrc.nl nog steeds. Om 17:05:
"Van de 952 pagina's die we in de afgelopen 90 dagen op de site hebben getest, resulteerde(n) 94 pagina('s) in het downloaden en installeren van schadelijke software zonder toestemming van de gebruiker. Google heeft deze site het laatst bezocht op 2012-11-13 en het laatst verdachte inhoud op deze site aangetroffen op 2012-11-12."
Zal wel morgen worden dan...
13-11-2012, 21:46 door Anoniem
Ik verwacht dat Surfright het allemaal weer goed kan breien...
14-11-2012, 00:16 door _____
Surf gevirtualiseerd...einde ellende!
14-11-2012, 09:11 door S-q.
Bij gebruik van Google Chrome;

McAfee Siteadvisor slaat nog steeds alarm bij NRC.nl
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.