image

Netwerk van besmette advertenties veel groter dan gedacht

dinsdag 23 september 2014, 09:53 door Redactie, 14 reacties

Een netwerk van besmette advertenties dat onder andere op amazon.com, ads.yahoo.com, winrar.com en youtube.com actief was is veel groter dan in eerste instantie werd gedacht. Het gaat om het "Kyle & Stan" malvertising netwerk, zoals onderzoekers van Cisco het advertentienetwerk noemen.

De kwaadaardige advertenties sturen bezoekers door naar een andere website. Afhankelijk of de gebruiker Windows of Mac gebruikt wordt hij vervolgens naar een andere pagina doorgestuurd. Deze pagina downloadt automatisch de malware. De malware bestaat uit legitieme software, zoals een mediaspeler of een programma om de computer te versnellen, aangevuld met kwaadaardige code. Het gaat dan om adware, spyware en browser hijackers. Het is echter aan de gebruiker om de download ook te openen en installeren.

Omvang

Onderzoekers melden nu dat de criminelen achter het netwerk veel meer domeinen gebruikten om gebruikers naar door te sturen en er ook veel meer connecties naar deze domeinen plaatsvonden. In plaats van zo'n 700 kwaadaardige domeinen blijkt het om bijna 6500 domeinen te gaan. Het aantal connecties bleek geen 9500 te bedragen, maar 31000. De domeinen blijken echter korte tijd te worden gebruikt voordat de aanvallers op een ander domein overstappen.

Volgens Cisco zou een deel van de infrastructuur die de criminelen gebruiken al sinds januari 2012 actief zijn. "Het 'Kyle & Stan' netwerk is een zeer geraffineerd malvertising netwerk. Het gebruikt het gigantische bereik van goedgeplaatste advertenties op zeer bekende websites om potentieel miljoenen gebruikers te bereiken", zo concluderen de onderzoekers. De kwaadaardige advertenties zouden op zo'n 70 websites actief zijn geweest.

Reacties (14)
23-09-2014, 09:58 door Anoniem
Ik maak gebruik van NoScript, een echte aanrader, zo blijkt.
23-09-2014, 10:06 door FSF-Moses - Bijgewerkt: 23-09-2014, 10:08
Op onderstaande link kun je een (complete) lijst van websites terugvinden welke de kwaadaardige advertenties to(o)n(d)en:

http://blogs.cisco.com/security/kyle-and-stan/

En daarom maak ik gebruik van ABP+Ghostery. NoScript zal ongetwijfeld ook heel veel goeds doen. Erg jammer voor de websites die het moeten hebben dan advertenties geleverd/gehost door een derde partij, het is niet anders.
23-09-2014, 10:25 door Anoniem
Ik raad tegenwoordig iedereen aan om een adblocker te gebruiken. Dat is in 2014 bijna net zo verplicht aan het worden als een up-to-date antivirus.

Jammer voor de ad-financed websites: die zouden wat mij betreft veel meer druk moeten zetten op de adproviders om hun beveiliging eens goed te gaan regelen...
23-09-2014, 10:47 door Anoniem
Door Anoniem: Ik raad tegenwoordig iedereen aan om een adblocker te gebruiken. Dat is in 2014 bijna net zo verplicht aan het worden als een up-to-date antivirus.

Jammer voor de ad-financed websites: die zouden wat mij betreft veel meer druk moeten zetten op de adproviders om hun beveiliging eens goed te gaan regelen...

Zou voorwaarde moeten zijn om beveiliging in orde te hebben is beetje "wrong way" dat klanten welke de doelgroep zijn, zich moeten beveiligen omdat coder's te lui zijn en adverteerders het dus niks uitmaakt of je besmet raakt "all by the profit for the proifit" is slecht bedrijfs plan.
23-09-2014, 10:47 door Anoniem
Barracuda is ook een tijdje goed bezig. Zij laten geïnfecteerde websites zien met screenshots.

link: http://threatglass.com/
23-09-2014, 11:11 door Anoniem
"meer druk moeten zetten op de adproviders om hun beveiliging eens goed te gaan regelen..."

Is er eigenlijk een overzicht van adproviders, welke het meest/ vaakst besmet raken en op welke wijze?
Als dat bekend is, dan 'lijkt het mij' (als leek zijnde, let wel!) een appeltje-eitje om pressie uit te oefenen?

Zoals hierboven ook al aangegeven, is het spijtig dat sites die afhankelijk zijn van advertenties, inkomsten mislopen.

Mijn (inmiddels) standaard blockers blijven actief, juist om mogelijke besmetting te voorkomen, voor zover mogelijk. Voorkomen is nou eenmaal beter dan genezen.

Zolang ik geen bericht krijg dat adservers een betere beschermde/ meer veilige omgeving hebben, blijven deze dus actief. Niet alleen op mijn systeem, maar ook op de 5-tal pc's die ik in onderhoud heb. W.o. die van een aantal senioren (70+).
23-09-2014, 11:28 door spatieman
ik hoor nog steeds iedere advertentieboer klagen, verbied add blockers, nou.
nu weten we weer waarom we er juist een draaien.
23-09-2014, 12:36 door Anoniem
NoScript zal ongetwijfeld ook heel veel goeds doen.

NoScript is krachtiger en effectiever dan welke adblocker dan ook vanwege de opties onder "Embeddings".
Te beginnen met het managen en blokkeren van iFrames in combinatie met "Ask confirmation before temporary unblocking an object".

Al deze infecterende advertenties maken gebruik van iFrames, redirects en javascript functionaliteit die je juist niet wil.
Met 30 of 40 duizend rules in een adblocker kom je ook een eind in die richting, als de rule er niet in is opgenomen komt een advertentie er alsnog doorheen en die vele rules maken je browser langzamer.

NoScript heeft daar geen last van.
Wel is het instellen van NoScript wat lastiger en afhankelijk van andere instellingen kan het wel of niet toestaan van scripts tijdens het browsen al dan niet wat extra handelingen vereisen tijdens het browsen. Met name met buitenlandse Amerikaanse sites zal je dat merken. Van onder tot boven vol met scripts van 3'rd party domains.
Let wel, wanneer je bepaalde sites met iFrames zou hebben ge-whitelist dan ben je weer wel kwetsbaarder.

Verder, Ghostery beschermt niet tegen reclame maar is bedoeld voor het bewaken van je privacy.

Maar voor je veiligheid 'standaard' gebruik van tenminste deze opties
- "click to play" voor media
- stel één en ander zo in dat je gewaarschuwd wordt bij redirects
- stel je browser zo in dat nieuwe tabs altijd ook meteen het actieve tab zijn zodat je ziet wat er gebeurt (wat met deze malware redirect weer niet zo lijkt te zijn omdat het zich binnen het iFrame van de reclame afspeelt maar evengoed)

Noscript, Ghostery, Adblock zijn drie addons die verschillend werken, met een verschillende doelstelling maar wel met een overlap in functionaliteit : Gebruik deze drie addons samen, zit je 'altijd' goed.

1) Managing javascripts + andere security en privacy extra's = NoScript of een variant daarop
2) Privacy protectie = Ghostery of een variant daarop
3) Reclame en privacy en e.v.t. andere extra's = Adblock Edge of Adblock Plus of een variant daarop

Last but not least : Neem eerst eens de moeite om alle voorkeuren die je browser zelf biedt goed door te nemen en goed en veilig in te stellen.

Dàt is de basis, het eerste goede begin!
23-09-2014, 12:44 door Anoniem
host file updaten ! ;)
23-09-2014, 13:04 door Anoniem
Door Anoniem: "meer druk moeten zetten op de adproviders om hun beveiliging eens goed te gaan regelen..."

Is er eigenlijk een overzicht van adproviders, welke het meest/ vaakst besmet raken en op welke wijze?
Als dat bekend is, dan 'lijkt het mij' (als leek zijnde, let wel!) een appeltje-eitje om pressie uit te oefenen?

Om de een of andere reden (ik kan die wel zelf verzinnen hoor!) wordt er op security.nl en andere vergelijkbare sites altijd
heel geheimzinnig gedaan over welke adprovider het betrof. De site waar de advertenties "op getoond" werden staat er
wel altijd bij, maar via welke adprovider vrijwel nooit.

Ik ben er een aantal malen achteraan gegaan en wat ik in ieder geval merkte was dat het advertentieprogramma OpenX.
Dit is waarschijnlijk niet alleen aan de gammelheid van dat (gratis) programma te wijten maar ook aan het feit dat allerlei
obscure advertentiehosters vaak dit programma gebruiken (en de bekende grote jongens, die misschien iets beter
opletten niet). Ik heb in ieder geval alle door OpenX geservde advertenties geblocked met wat regexp matches.
23-09-2014, 17:29 door FSF-Moses
@ Vandaag, 12:36 door Anoniem:

Ik weet het. Ik ben alleen nog niet met NoScript bezig geweest wegens chronisch tijdgebrek. Maar heb jij wellicht een aantal suggesties met betrekking tot het instellen en het laten 'leren' van NoScript? Een soort van handleiding, zeg maar. Dan kan ik daar ook eens lekker mee spelen gedurende de komende tijd (binnenkort behoorlijk wat minder werkdruk).
23-09-2014, 18:38 door Anoniem
Door FSF-Moses: @ Vandaag, 12:36 door Anoniem:

Ik weet het. Ik ben alleen nog niet met NoScript bezig geweest wegens chronisch tijdgebrek. Maar heb jij wellicht een aantal suggesties met betrekking tot het instellen en het laten 'leren' van NoScript? Een soort van handleiding, zeg maar. Dan kan ik daar ook eens lekker mee spelen gedurende de komende tijd (binnenkort behoorlijk wat minder werkdruk).
Leren? Dat doe je handmatig bij iedere website. Klinkt vervelend, went snel, scheelt een hoop ellende...
Vervolgens kun je zelf bepalen of NS iets onthoudt of iedere keer met een schone lei begint.

mvg een andere anoniem
24-09-2014, 11:01 door FSF-Moses
Dank! Ga er mee spelen. Eens kijken of het mij voldoende voordeel oplevert naast ABP/Ghostery.
24-09-2014, 15:29 door Anoniem
Door FSF-Moses: @ Vandaag, 12:36 door Anoniem:

Ik weet het. Ik ben alleen nog niet met NoScript bezig geweest wegens chronisch tijdgebrek. Maar heb jij wellicht een aantal suggesties met betrekking tot het instellen en het laten 'leren' van NoScript? Een soort van handleiding, zeg maar. Dan kan ik daar ook eens lekker mee spelen gedurende de komende tijd (binnenkort behoorlijk wat minder werkdruk).

https://www.security.nl/posting/387970/Noscript+logica%3F
https://www.security.nl/posting/383107/Firefox%3A+Adblocker+Plus_NoScript+icm+Ghostery

;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.