Aanvallers zijn er gisteren in geslaagd om de Amerikaanse nieuwssite NBC.com te hacken en bezoekers met malware te infecteren. De infectie werd als eerste door Ronald Prins van Fox-IT opgemerkt. Volgens een analyse van het bedrijf gebruikten de aanvallers zowel kwetsbaarheden in Adobe Reader als Java om gebruikers aan te vallen. Het ging hier echter om bekende lekken.
Bezoeker die Java en Adobe hadden gepatcht liepen dan ook geen enkel risico. Wie de pagina met een verouderde versie bezocht werd met de Citadel banking Trojan besmet.
Naast NBC.com werden ook andere websites van de nieuwsorganisaties gehackt, waaronder Late Night with Jimmy Fallon en Jay Lenos, aldus het Sucuri securityblog, dat opmerkt dat op alle gehackte pagina's een iframe werd toegevoegd.
Bank
De Citadel-malware is ontwikkeld om allerlei gegevens van computer te stelen, waaronder informatie om toegang tot de bankrekeningen van slachtoffers te krijgen. De verspreidde versie zou het voornamelijk op Amerikaanse banken hebben voorzien, zoals Wells Fargo, Citibank en Bank of America.
"Het is vaker aangetoond, zoals met de Nederlandstalige website NU.nl, alsmede recente incidenten bij de New York Times en Wall Street Journal, dat het aanvallen van media en nieuwssites de kans op succes voor aanvallers behoorlijk kan vergroten", aldus analist Barry Weymes.
"Gebruikers gaan er vanuit dat websites van deze grote organisaties geen malware bevatten", laat hij verder weten. De Command & Control-server waarmee de malware werd aangestuurd zou mede dankzij anti-spamorganisatie Spamhaus uit de lucht zijn gehaald.
Icoontje
Het Nederlandse beveiligingsbedrijf SurfRight laat weten dat een uur na de ontdekking van de aanval de aanvallers nog steeds toegang tot de website van NBC hadden. De domeinen waar vandaan de exploits werden geladen om bezoekers te infecteren werden namelijk aangepast.
Naast Citadel zouden sommige bezoekers ook met de ZeroAccess malware besmet zijn geraakt.
De aanvallers gebruikten de RedKit Exploit-kit voor het aanvallen van ongepatchte gebruikers. Deze exploit-kit, die allerlei exploits bevat die misbruik van beveiligingslekken in browserplug-ins maken om malware te verspreiden, werd vorig jaar ook ingezet tijdens de aanval tegen Telegraaf-bezoekers.
Citadel
SurfRight laat verder weten dat de Citadel-malware die vorig jaar bij verschillende ministeries en overheidsinstanties het Dorifelvirus verspreidde, het NBC logo als bestandsicoontje had. Hoewel de malware inmiddels is verwijderd en de C&C-server uitgeschakeld, is er op de website van NBC niets over de hack of malware te vinden.
Ook op Twitter wordt er met geen woord over de aanval gerept. Volgens Alexa zou NBC.com in de VS tot de Top 600 van beste bezochte websites behoren.
Deze posting is gelocked. Reageren is niet meer mogelijk.