image

SpeedTest.net verspreidde malware via advertenties

woensdag 6 februari 2013, 17:27 door Redactie, 13 reacties

Aanvallers hebben onlangs gebruikers van SpeedTest.net aangevallen via kwaadaardige advertenties. SpeedTest.net is een populaire website waar internetgebruikers hun snelheid kunnen meten. Volgens Alexa behoort de website tot de Top 500 van meest bezochte website op internet. De aanvalscode in de banners maakte misbruik van een Java-lek.

De aanval verliep via de 'g01pack' exploit-kit en zou op 30 januari hebben plaatsgevonden. De door de exploit gebruikte Java-bestanden werden op het moment van de aanval door geen enkele virusscanner herkend.

Impact
De geinstalleerde malware bleek een nep-virusscanner te zijn. "De exploit-analyse laat zien dat een groot aantal gebruikers is blootgesteld aan een Java-gebaseerde exploit die tijdelijk door SpeedTest.net werd gehost", aldus beveiligingsbedrijf Invincea.

Aan de hand van het gebruikte JavaScript stelt de beveiliger dat SpeedTest.net als onderdeel van een malvertising campagne gecompromitteerd is geweest.

"SpeedTest.net is een populaire site die veel gebruikt wordt om netwerksnelheden te meten." Het beveiligingsbedrijf concludeert dat de exploit laat zien dat gebruikers ook op legitieme websites risico kunnen lopen.

Reacties (13)
06-02-2013, 17:34 door vimes
Gebruik dan ook altijd een adblocker of anti-ad hostfile. Scheelt je ook nog eens bandbreedte en je viruschecker heeft het minder druk.
06-02-2013, 18:11 door Anoniem
vimes, je vergeet de belangrijkste: een up-to-date systeem.
06-02-2013, 18:14 door [Account Verwijderd]
[Verwijderd]
06-02-2013, 20:02 door _____
Ga gevirtualiseerd het internet op, nooit problemen!
06-02-2013, 20:26 door Anoniem
Kom niet op het internet nog vele minder problemen. -_-
06-02-2013, 20:44 door Anoniem
Of je meet je bandbreedte met behulp van Iperf/Jperf. Voor Jperf heb je wel Java nodig, maar bij wordt gebruik gemaakt van CLI.
07-02-2013, 08:03 door Anoniem
En verwijder natuurlijk Java.
07-02-2013, 08:10 door SecuritySander
Begint toch wel een trend te worden: aanvallers die via adverteerders malware verspreiden. Is natuurlijk ook best dankbaar platform: advertenties worden van nature al verspreid. En nog onder de vlag van (meestal) betrouwbare andere partijen, die vaak te weinig eisen van hun adverteerders op het gebied van security. Blijft waarschijnlijk wel hot topic en zorgpunt dus.
07-02-2013, 08:59 door SecurityBlasterx
Mediafire.com verspreidde malware al 3 weken lang nu bijna 4. Ik kwam hier achter toen op een nieuwe pc ineens het polictie virus kwam toen ik de website bezocht. Gebrukte google chrome met adblock. Snap nogsteeds niet hoe deze erdoor is gekomen.
07-02-2013, 14:38 door Anoniem
Door SecurityBlasterx: Mediafire.com verspreidde malware al 3 weken lang nu bijna 4. Ik kwam hier achter toen op een nieuwe pc ineens het polictie virus kwam toen ik de website bezocht. Gebrukte google chrome met adblock. Snap nogsteeds niet hoe deze erdoor is gekomen.
Dat de advertentie niet op je scherm wordt vertoond, hoeft niet te betekenen dat de Javascript niet ondertussen is uitgevoerd.
07-02-2013, 15:03 door [Account Verwijderd]
[Verwijderd]
08-02-2013, 09:01 door Anoniem
Misschien een domme vraag, maar hoe kan ik een eventuele infectie weer oplossen?

Ik draai met een volledig bijgewerkte Windows en ik heb AVG alles laten scannen. Deze gaf geen bedreiging aan.
Is dat voldoende, of moet ik nog meer doen?
08-02-2013, 18:47 door vimes
@anoniem 9:01: Als alles zich normaal gedraagt zou ik mij geen zorgen maken.

Door Anoniem:
Door SecurityBlasterx: Mediafire.com verspreidde malware al 3 weken lang nu bijna 4. Ik kwam hier achter toen op een nieuwe pc ineens het polictie virus kwam toen ik de website bezocht. Gebrukte google chrome met adblock. Snap nogsteeds niet hoe deze erdoor is gekomen.
Dat de advertentie niet op je scherm wordt vertoond, hoeft niet te betekenen dat de Javascript niet ondertussen is uitgevoerd.
Klopt, het is vaak niet duidelijk hoe een adblockker de reclame blokkeert. Als de reclame geblokkeerd wordt via een hosts file komt er echter niets van binnen. Het vergt wel wat meer internet en systeemkennis.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.