Bezoekers Java.com aangevallen via Java-lekken
Internetgebruikers die de site Java.com bezochten zijn het doelwit geworden van aanvallen waarbij werd geprobeerd om hen via lekken in ironisch genoeg Java met malware te infecteren. De website zelf was niet gehackt, maar advertenties op Java.com waren voorzien van de Angler-exploitkit.
Deze exploitkit controleert de browserplug-ins van bezoekers, zoals Java, Adobe Flash Player en Microsoft Silverlight. Als bleek dat gebruikers deze plug-ins niet hadden geüpdatet werden ze met de Asprox-malware besmet. Deze malware maakt besmette computers onderdeel van een spambotnet. Naast Java.com werden de advertenties met de exploitkit ook op andere populaire websites getoond, waaronder Deviantart.com, TMZ.com, Photobucket.com, IBTimes.com, eBay.ie, Kapaza.be en TVgids.nl. De advertenties waren actief van dinsdag 19 augustus tot en met vrijdag 22 augustus.
Retargetting
Volgens beveiligingsonderzoeker Yonathan Klijnsma van het Delftse beveiligingsbedrijf Fox-IT zorgt het gebruik van "retargetting" door advertentienetwerken ervoor dat het volgen van deze dreigingen zeer lastig is. Bij retargetting laten één of meerdere advertentie- en contentproviders trackingdata, cookies of andere bestanden achter, zodat een adverteerder de volgende keer een andere advertentie kan laten zien.
Een website die advertentieruimte verhuurt kan soms retargetted advertenties laten zien zonder dit zelf te weten. Een gebruiker met een interessante verzameling cookies en andere metadata voor een bepaalde advertentieaanbieder krijgt vervolgens aangepaste advertenties te zien aan de hand van de gepersonaliseerde data. Klijnsma zegt voorbeelden te hebben gezien dat een website die hielp met het infecteren van een gebruiker niet wist dat het de advertenties van een bepaalde advertentieprovider liet zien.
Maatregelen
Internetgebruikers kunnen zich echter tegen dit soort aanvallen wapenen. Klijnsma adviseert om click-to-play in de browser in te schakelen, aangezien dit voorkomt dat browserplug-ins automatisch worden uitgevoerd. Ook krijgen gebruikers het advies om alle plug-ins up-to-date te houden en niet gebruikte plug-ins uit te schakelen. Een adblocker kan volgens de onderzoeker ook infecties via kwaadaardige advertenties voorkomen, maar dit werkt niet altijd.
Een aantal maanden geleden zag Klijnsma een kwaadaardige advertentie via Skype voorbijkomen. Aangezien een adblocker vooral in de browser werkt werd deze advertentie zodoende niet gestopt. Skype maakt gebruik van de Adobe Flash Player plug-in om bepaalde advertenties te laten zien, iets waar de Angler-exploitkit misbruik van kan maken.
Maar een website die advertentieruimte verhuurt via een advertentienetwerk kan wel weten dat hij hiermee zijn website
tot een ongeleid projectiel maakt. Dat men hier willens en wetens mee doorgaat toont alleen maar aan dat men de
bezoekers minacht en het oninteressant vindt of deze malware op de computer krijgen.
Een websitebeheerder met enige verantwoordelijkheidsbesef spreekt zijn advertentienetwerk hierop aan en eist
maatregelen. Het antwoord "daar kunnen wij niets aan doen" accepteert hij niet, dan stapt hij over naar een netwerk
waarvan de beheerders wel capabel zijn.
als ze dat nu eens zouden veranderen goddomme dan hoefde ik niet bij elke update mijn kennissen te waarschuwen .
>> "Jouw aandacht wordt talloze malen per dag aan de hoogste bieder verkocht"
https://decorrespondent.nl/1150/Jouw-aandacht-wordt-talloze-malen-per-dag-aan-de-hoogste-bieder-verkocht%20/56001550-762cdf78
>> Retargeting bij tech nieuws collega's : "Tweakers schakelt automatische bannerverkoop in"
https://tweakers.net/plan/772/tweakers-schakelt-automatische-bannerverkoop-in.html?mode=nested&niv=-1&order=asc&page=1#reacties
>> Recente Reclame / Retargeting discussie op Security.nl : "Tweakers alles toelaten ?"
https://www.security.nl/posting/398931/Tweakers+alles+toelaten+%3F
— Een tevreden AdBlock-gebruiker
Als je doordenkt, is dat niet eens onlogisch. Bezoekers op de Java website kunnen juist mensen zijn die een update zoeken. m.a.w. mensen die nog met een verouderde versie werken.
Ook heeft de Java website een aantal Java test programma's waarbij je juist de click-to-play even moet uitzetten om goed te testen. Dus een moedwillige aanval zou juist een bepaalde logica hebben.
Maar de aanwezigheid van mallware was hier blijkbaar toeval en niet bewust op deze website gericht.
Mogelijk had Oracle deze patch uitgebracht i.v.m die mogelijke malware.
Download
Today!
Nou Nay!
Euh? Heb je een mobiele telefoon? Dan gebruik je al Java (Java Card technologie in je SIM-kaart). Yay!
Heb je een Android smartphone? Dan gebruik je alweer Java (de apps zijn vnl. in Java geschreven). Yay!
Zoek je wel eens online een telefoonnummer op via http://www.detelefoongids.nl/? Dan gebruik je alweer Java (een van de sites die Java EE gebruikt). Yay!
Doe je wel eens bankzaken op https://www.rabobank.nl? Dan gebruik je alweer Java (jawel, na hun ASP.NET avontuur draaien ze weer op Java EE). Yay!
En dan blijkbaar nog niet de centen hebben om geen 3rd-party malvertisers toe te hoeven laten op het eigen domein.
Iets met prioriteiten stellen dan?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
