NRC Handelsblad verspreidde Banking Trojan
De malware die vanochtend via de websites van het NRC Handelsblad werd verspreid blijkt een beruchte banking Trojan te zijn. Het gaat om de Sinowal-malware, speciaal ontwikkeld voor het stelen van geld van online bankrekening, zo blijkt uit analyse van het Nederlandse beveiligingsbedrijf SurfRight. Aanvallers wisten kwaadaardige advertenties met een exploit op de site te krijgen. Het ging om een exploit voor een recent gepatcht Java-lek.
Wie met een kwetsbare Java-installatie de website bezocht werd automatisch geïnfecteerd. Het gaat om kwetsbaarheid CVE-2012-5076, waarvoor onlangs nog een exploit aan hackertool Metasploit werd toegevoegd.
Mark Loman van SurfRight laat tegenover Security.nl weten dat de pagina waar de kwaadaardige advertenties gebruikers naar doorstuurde, de Blackhole Exploit-kit 2.0 bevatte. Dit is een populaire exploit-kit onder cybercriminelen en is verantwoordelijk voor de meeste infecties via 'drive-by downloads'.
Naast het Java-lek gebruiken de aanvallers ook een lek in Adobe Flash Player om de malware te verspreiden. Het gaat om kwetsbaarheid CVE-2011-0611, waar sinds vorig jaar april een update voor beschikbaar is.
Advertentie
NRC gebruikt voor het weergeven van de advertenties de software van het Belgische bedrijf Adhese. Adhese is zelf geen adverteerder, maar ontwikkelt alleen advertentiesystemen. "Wij maken software waarmee een reklameregie zoals die van NRC zelf advertenties kan serven en rapporteren, een adserver dus", zegt Tim Sturtewagen, CTO van Adhese, tegenover Security.nl..
"De concrete advertentie die bij NRC voor problemen zorgde werd noch door ons gemaakt, noch door ons gehost. Het gaat hier om een verwijzing in een extern JavaScript bestand dat opgeladen werd door het reclamebureau dat de advertentie maakt."
Volgens Sturtewagen laat de software uitgevers zelf beslissen indien men third party tags (en dus externe JavaScripts) toelaat als advertentie. "Dat is ook de oorzaak van dit probleem. Alle advertenties die bij ons gehost worden, worden gecontroleerd alvorens ze in een campagne toegelaten worden. Indien zich daar dus ongewilde onderdelen in bevinden, houden we die ook wel degelijk tegen, nog voor ze online kunnen verschijnen."
"Onze files voor NRC worden gehost onder pool.nrc.adhese.com, en zoals je kan zien bij bvb. google is dat domain nog nooit drager of intermediary van malware geweest. Onze setup is niet toegankelijk via FTP, de bestanden die we hosten kunnen enkel over onze applicatie online komen, en worden dus telkens gereviewed."
Sturtewagen stelt dat dit 'spijtig genoeg' niet mogelijk voor advertenties van derden is. "Omdat daar uiteindelijk vanuit de client een request gebeurt naar de adserver van de adverteerder. Dus indien het basis JS bestand aanvaard wordt door de uitgever, kan de adverteerder daarna uiteindelijk linken naar waar hij maar wil. Er is dus ook nooit toegang geweest op de adhese servers, de bestanden die de malware bevatten werden gehost op het Content Delivery Network (CDN) waar enkel het reclamebureau toegang toe heeft, niet op een Adhese server."
Scan
NRC Handelsblad adviseerde bezoekers die voor zeven uur 's ochtends de websites nrc.nl en nrcnext.nl hadden bezocht om het systeem met een virusscanner te scannen.
Uit cijfers van VirusTotal blijkt dat alleen Avast, G Data en Kaspersky Lab de exploit detecteren. De malware zelf wordt door Avast, Sophos, AntiVir en G Data herkend.
Update - 13:53: reactie Adhese toegevoegd
UIpdate 2 - 14:40: informatie over Flash-lek, tweede reactie Adhese toegevoegd
Better be safe than sorry.
Voor de gewone huis tuin en keuken computer gebruiker is het inmiddels vrijwel onmogelijk om normaal te internetten zonder een vergroot risico te lopen. Ik weet dat dit een bekend java probleem is, maar patchen duurt even en niet iedereen heeft zin om iedere keer dat hij zijn pc aanzet eerst adobe, java, windows update en verder te updaten en pas 15 minuten na de succesvolle boot te beginnen.
je mist dan wel wat functionaliteit, maar er zijn mij wat teveel lekken die wat te laat gepatcht worden
Volgens mij kan je slecht zonder. . Dat automagische adresboek laden bij overboekingen bij de ABN, lijkt me java/ajax .. werkt het zonder?
hXXp://adhese.cdn01.rambla.be/nrc/devilads/visit-norway-201210/columnad.js
tsja... je moet maar geloven wat ze zeggen, maar voor mij ziet dit er gewoon uit als de schuld van Adhese. Lullen als brugman om maar geen klanten te verliezen... uiteindelijk serveren ze toch die troep.
Ja daarom zou je dat als adserver niet toe moeten laten.
Om dit soort vergissingen te voorkomen blacklist ik een adserver altijd meteen als het mis gaat.
Je leeft als adserver dus in borrowed time. Advertenties kun je laten zien tot je een fout maakt, daarna niet meer.
Ik snap dat het een hard leven is, maar zo is het nou eenmaal.
Goede tip om JRE van je systeem te gooien, beetje jammer dat je daarmee nog steeds kwetsbaar bent.
Better be safe than sorry.
Je hebt het niet echt begrepen he?
Goede tip om JRE van je systeem te gooien, beetje jammer dat je daarmee nog steeds kwetsbaar bent.
Huh, volgens mij staat in het artikel toch echt:
Suggesties:
Ga terug naar de vorige pagina en kies een ander resultaat.
Probeer een andere zoekopdracht om de gewenste informatie te vinden.
Of u kunt op eigen risico doorgaan naar http://www.nrc.nl/. Ga voor meer informatie over de problemen die we hebben aangetroffen naar Google's diagnosepagina voor 'Veilig surfen' voor deze site.
~
Nog steeds dus
Suggesties:
Ga terug naar de vorige pagina en kies een ander resultaat.
Probeer een andere zoekopdracht om de gewenste informatie te vinden.
Of u kunt op eigen risico doorgaan naar http://www.nrc.nl/. Ga voor meer informatie over de problemen die we hebben aangetroffen naar Google's diagnosepagina voor 'Veilig surfen' voor deze site.
~
Nog steeds dus
Dit soort mededelingen wordt ingeschakeld als de betreffende zoekmachine of malwareblocklijst in de gaten
heeft dat er problemen zijn en blijft dan staan tot er een nieuw bezoek geweest is waarbij alles OK was.
Het is dus niet zo dat deze mededeling vanzelf verdwijnt als het probleem is opgelost.
Goede tip om JRE van je systeem te gooien, beetje jammer dat je daarmee nog steeds kwetsbaar bent.
Huh, volgens mij staat in het artikel toch echt:
http://secure.security.nl/artikel/43916/1/Extensies%2C_Add-ons_en_meer.html
EDIT: tot op heden blokkeert Chrome nrc.nl nog steeds. Om 17:05:
"Van de 952 pagina's die we in de afgelopen 90 dagen op de site hebben getest, resulteerde(n) 94 pagina('s) in het downloaden en installeren van schadelijke software zonder toestemming van de gebruiker. Google heeft deze site het laatst bezocht op 2012-11-13 en het laatst verdachte inhoud op deze site aangetroffen op 2012-11-12."
Zal wel morgen worden dan...
McAfee Siteadvisor slaat nog steeds alarm bij NRC.nl
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
