De malware die vanochtend via de websites van het NRC Handelsblad werd verspreid blijkt een beruchte banking Trojan te zijn. Het gaat om de Sinowal-malware, speciaal ontwikkeld voor het stelen van geld van online bankrekening, zo blijkt uit analyse van het Nederlandse beveiligingsbedrijf SurfRight. Aanvallers wisten kwaadaardige advertenties met een exploit op de site te krijgen. Het ging om een exploit voor een recent gepatcht Java-lek.
Wie met een kwetsbare Java-installatie de website bezocht werd automatisch geïnfecteerd. Het gaat om kwetsbaarheid CVE-2012-5076, waarvoor onlangs nog een exploit aan hackertool Metasploit werd toegevoegd.
Mark Loman van SurfRight laat tegenover Security.nl weten dat de pagina waar de kwaadaardige advertenties gebruikers naar doorstuurde, de Blackhole Exploit-kit 2.0 bevatte. Dit is een populaire exploit-kit onder cybercriminelen en is verantwoordelijk voor de meeste infecties via 'drive-by downloads'.
Naast het Java-lek gebruiken de aanvallers ook een lek in Adobe Flash Player om de malware te verspreiden. Het gaat om kwetsbaarheid CVE-2011-0611, waar sinds vorig jaar april een update voor beschikbaar is.
Advertentie
NRC gebruikt voor het weergeven van de advertenties de software van het Belgische bedrijf Adhese. Adhese is zelf geen adverteerder, maar ontwikkelt alleen advertentiesystemen. "Wij maken software waarmee een reklameregie zoals die van NRC zelf advertenties kan serven en rapporteren, een adserver dus", zegt Tim Sturtewagen, CTO van Adhese, tegenover Security.nl..
"De concrete advertentie die bij NRC voor problemen zorgde werd noch door ons gemaakt, noch door ons gehost. Het gaat hier om een verwijzing in een extern JavaScript bestand dat opgeladen werd door het reclamebureau dat de advertentie maakt."
Volgens Sturtewagen laat de software uitgevers zelf beslissen indien men third party tags (en dus externe JavaScripts) toelaat als advertentie. "Dat is ook de oorzaak van dit probleem. Alle advertenties die bij ons gehost worden, worden gecontroleerd alvorens ze in een campagne toegelaten worden. Indien zich daar dus ongewilde onderdelen in bevinden, houden we die ook wel degelijk tegen, nog voor ze online kunnen verschijnen."
"Onze files voor NRC worden gehost onder pool.nrc.adhese.com, en zoals je kan zien bij bvb. google is dat domain nog nooit drager of intermediary van malware geweest. Onze setup is niet toegankelijk via FTP, de bestanden die we hosten kunnen enkel over onze applicatie online komen, en worden dus telkens gereviewed."
Sturtewagen stelt dat dit 'spijtig genoeg' niet mogelijk voor advertenties van derden is. "Omdat daar uiteindelijk vanuit de client een request gebeurt naar de adserver van de adverteerder. Dus indien het basis JS bestand aanvaard wordt door de uitgever, kan de adverteerder daarna uiteindelijk linken naar waar hij maar wil. Er is dus ook nooit toegang geweest op de adhese servers, de bestanden die de malware bevatten werden gehost op het Content Delivery Network (CDN) waar enkel het reclamebureau toegang toe heeft, niet op een Adhese server."
Scan
NRC Handelsblad adviseerde bezoekers die voor zeven uur 's ochtends de websites nrc.nl en nrcnext.nl hadden bezocht om het systeem met een virusscanner te scannen.
Uit cijfers van VirusTotal blijkt dat alleen Avast, G Data en Kaspersky Lab de exploit detecteren. De malware zelf wordt door Avast, Sophos, AntiVir en G Data herkend.
Update - 13:53: reactie Adhese toegevoegd
UIpdate 2 - 14:40: informatie over Flash-lek, tweede reactie Adhese toegevoegd
Deze posting is gelocked. Reageren is niet meer mogelijk.