image

Bezoekers Java.com aangevallen via Java-lekken

woensdag 27 augustus 2014, 13:45 door Redactie, 16 reacties

Internetgebruikers die de site Java.com bezochten zijn het doelwit geworden van aanvallen waarbij werd geprobeerd om hen via lekken in ironisch genoeg Java met malware te infecteren. De website zelf was niet gehackt, maar advertenties op Java.com waren voorzien van de Angler-exploitkit.

Deze exploitkit controleert de browserplug-ins van bezoekers, zoals Java, Adobe Flash Player en Microsoft Silverlight. Als bleek dat gebruikers deze plug-ins niet hadden geüpdatet werden ze met de Asprox-malware besmet. Deze malware maakt besmette computers onderdeel van een spambotnet. Naast Java.com werden de advertenties met de exploitkit ook op andere populaire websites getoond, waaronder Deviantart.com, TMZ.com, Photobucket.com, IBTimes.com, eBay.ie, Kapaza.be en TVgids.nl. De advertenties waren actief van dinsdag 19 augustus tot en met vrijdag 22 augustus.

Retargetting

Volgens beveiligingsonderzoeker Yonathan Klijnsma van het Delftse beveiligingsbedrijf Fox-IT zorgt het gebruik van "retargetting" door advertentienetwerken ervoor dat het volgen van deze dreigingen zeer lastig is. Bij retargetting laten één of meerdere advertentie- en contentproviders trackingdata, cookies of andere bestanden achter, zodat een adverteerder de volgende keer een andere advertentie kan laten zien.

Een website die advertentieruimte verhuurt kan soms retargetted advertenties laten zien zonder dit zelf te weten. Een gebruiker met een interessante verzameling cookies en andere metadata voor een bepaalde advertentieaanbieder krijgt vervolgens aangepaste advertenties te zien aan de hand van de gepersonaliseerde data. Klijnsma zegt voorbeelden te hebben gezien dat een website die hielp met het infecteren van een gebruiker niet wist dat het de advertenties van een bepaalde advertentieprovider liet zien.

Maatregelen

Internetgebruikers kunnen zich echter tegen dit soort aanvallen wapenen. Klijnsma adviseert om click-to-play in de browser in te schakelen, aangezien dit voorkomt dat browserplug-ins automatisch worden uitgevoerd. Ook krijgen gebruikers het advies om alle plug-ins up-to-date te houden en niet gebruikte plug-ins uit te schakelen. Een adblocker kan volgens de onderzoeker ook infecties via kwaadaardige advertenties voorkomen, maar dit werkt niet altijd.

Een aantal maanden geleden zag Klijnsma een kwaadaardige advertentie via Skype voorbijkomen. Aangezien een adblocker vooral in de browser werkt werd deze advertentie zodoende niet gestopt. Skype maakt gebruik van de Adobe Flash Player plug-in om bepaalde advertenties te laten zien, iets waar de Angler-exploitkit misbruik van kan maken.

Reacties (16)
27-08-2014, 14:09 door Anoniem
"Een website die advertentieruimte verhuurt kan soms retargetted advertenties laten zien zonder dit zelf te weten."

Maar een website die advertentieruimte verhuurt via een advertentienetwerk kan wel weten dat hij hiermee zijn website
tot een ongeleid projectiel maakt. Dat men hier willens en wetens mee doorgaat toont alleen maar aan dat men de
bezoekers minacht en het oninteressant vindt of deze malware op de computer krijgen.

Een websitebeheerder met enige verantwoordelijkheidsbesef spreekt zijn advertentienetwerk hierop aan en eist
maatregelen. Het antwoord "daar kunnen wij niets aan doen" accepteert hij niet, dan stapt hij over naar een netwerk
waarvan de beheerders wel capabel zijn.
27-08-2014, 14:23 door Anoniem
Er staan advertenties op Java.com?
— Een tevreden AdBlock-gebruiker
27-08-2014, 14:53 door potshot
normaal krijg je pas na een week een update mededeling,instellen op 'elke dag controleren' wil niet want die instelling 'pakt' niet.
als ze dat nu eens zouden veranderen goddomme dan hoefde ik niet bij elke update mijn kennissen te waarschuwen .
27-08-2014, 14:59 door Anoniem
Over Java is 'alles' wel gezegd, over Retargeting daarentegen ,..

>> "Jouw aandacht wordt talloze malen per dag aan de hoogste bieder verkocht"
https://decorrespondent.nl/1150/Jouw-aandacht-wordt-talloze-malen-per-dag-aan-de-hoogste-bieder-verkocht%20/56001550-762cdf78

>> Retargeting bij tech nieuws collega's : "Tweakers schakelt automatische bannerverkoop in"
https://tweakers.net/plan/772/tweakers-schakelt-automatische-bannerverkoop-in.html?mode=nested&niv=-1&order=asc&page=1#reacties

>> Recente Reclame / Retargeting discussie op Security.nl : "Tweakers alles toelaten ?"
https://www.security.nl/posting/398931/Tweakers+alles+toelaten+%3F
27-08-2014, 15:00 door Ivanhoe
Door Anoniem: Er staan advertenties op Java.com?
— Een tevreden AdBlock-gebruiker
Dat was ook het eerste waar ik aan dacht.
27-08-2014, 15:56 door [Account Verwijderd]
[Verwijderd]
27-08-2014, 16:25 door Anoniem
Waarom ligt in dit artikkel de focus op java.com. Er wordt een lijst aan websites genoemd die hier ook last van hebben?
27-08-2014, 17:31 door Briolet
… waarbij werd geprobeerd om hen via lekken in ironisch genoeg Java met malware te infecteren.

Als je doordenkt, is dat niet eens onlogisch. Bezoekers op de Java website kunnen juist mensen zijn die een update zoeken. m.a.w. mensen die nog met een verouderde versie werken.
Ook heeft de Java website een aantal Java test programma's waarbij je juist de click-to-play even moet uitzetten om goed te testen. Dus een moedwillige aanval zou juist een bepaalde logica hebben.

Maar de aanwezigheid van mallware was hier blijkbaar toeval en niet bewust op deze website gericht.
27-08-2014, 18:57 door Anoniem
Er is inmiddels op de site van Oracle een nieuwe jre en jdk uitgebracht van versie 8 update 11, naar versie 8 update 20.
Mogelijk had Oracle deze patch uitgebracht i.v.m die mogelijke malware.
27-08-2014, 19:37 door [Account Verwijderd] - Bijgewerkt: 27-08-2014, 19:38
[Verwijderd]
27-08-2014, 22:57 door [Account Verwijderd] - Bijgewerkt: 27-08-2014, 22:57
[Verwijderd]
27-08-2014, 23:59 door Anoniem
Java + You,
Download
Today!

Nou Nay!
28-08-2014, 09:03 door Anoniem
Gewoon text-based browser gebruiken heb je nergens meer last van.
28-08-2014, 12:17 door [Account Verwijderd] - Bijgewerkt: 28-08-2014, 12:24
[Verwijderd]
28-08-2014, 14:31 door Anoniem
Door Krakatau:
Door Anoniem:
Java + You,
Download
Today!

Nou Nay!

Euh? Heb je een mobiele telefoon? Dan gebruik je al Java (Java Card technologie in je SIM-kaart). Yay!

Heb je een Android smartphone? Dan gebruik je alweer Java (de apps zijn vnl. in Java geschreven). Yay!

Zoek je wel eens online een telefoonnummer op via http://www.detelefoongids.nl/? Dan gebruik je alweer Java (een van de sites die Java EE gebruikt). Yay!

Doe je wel eens bankzaken op https://www.rabobank.nl? Dan gebruik je alweer Java (jawel, na hun ASP.NET avontuur draaien ze weer op Java EE). Yay!
Jeetje, echt waar?

En dan blijkbaar nog niet de centen hebben om geen 3rd-party malvertisers toe te hoeven laten op het eigen domein.
Iets met prioriteiten stellen dan?
28-08-2014, 21:05 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.