Een onbekend aantal bezoekers van NU.nl is gisteren door gevaarlijke malware besmet geraakt nadat de website een halve dag lang besmette advertenties toonde. Dat ontdekte het Delftse beveiligingsbedrijf Fox-IT. Volgens de beveiliger werden gisteren tussen 10:42 en 15:34 uur kwaadaardige advertenties getoond die onder andere misbruik van een beveiligingslek in Java maakten.
De advertenties stuurden bezoekers door naar een website waar een exemplaar van de Sweet Orange Exploit Kit draaide. Dit is een programma waarmee cybercriminelen internetgebruikers kunnen infecteren die ongepatchte software gebruiken. De Sweet Orange Exploit Kit zou beveiligingslekken in Java, Adobe Reader, Internet Explorer en Firefox misbruiken, aldus beveiligingsbedrijf Bluecoat.
Bezoekers die niet over een recente versie van in ieder geval Java beschikten en de advertenties op de nieuwssite te zien kregen, werden geïnfecteerd door een nieuwe versie van de Zeus banking Trojan. Een Trojaans paard speciaal gemaakt voor het stelen van geld van online bankrekeningen.
De malware werd op het moment van de infectie door slechts twee virusscanners opgemerkt: Kaspersky Lab en Malwarebytes.
Advertentie
"De infectie werd verspreid via advertenties. De oorzaak is een advertentieserver die op NU.nl adverteerde. De software om advertenties te tonen was waarschijnlijk gecompromitteerd", zegt Joost Bijl van Fox-IT. Wie gisteren NU.nl heeft bezocht krijgt het advies om de computer op malware te controleren.
"De malware laat bestanden achter in de “Application Data” folder die worden opgestart bij het aanzetten van de computer. Controleer of er onbekende programma’s worden opgestart", adviseert Bijl. Deze week werd bekend dat 93% van de internetgebruikers die Java heeft geïnstalleerd een onveilige versie gebruikt.
Het is niet de eerste keer dat er malware via NU.nl wordt verspreid. Vorig jaar raakten bezoekers besmet met de gevaarlijke Sinowal banking Trojan. Toen wisten aanvallers de inloggegevens van het Content Management Systeem (CMS) van de website te bemachtigen.
Update 18:39
NU.nl waarschuwt bezoekers inmiddels via een blogposting. "We hebben geconstateerd dat er woensdag 5 juni via een aangesloten advertentienetwerk op NU.nl een advertentie is getoond die tot doel had malware te verspreiden." De website zegt te onderzoeken hoe vaak de besmette advertenties zijn getoond.
Deze posting is gelocked. Reageren is niet meer mogelijk.