image

Pornosite xHamster verspreidde weer malware

vrijdag 25 september 2015, 14:28 door Redactie, 10 reacties

Voor de derde keer in een jaar tijd zijn er weer besmette advertenties op de zeer populaire pornosite xHamster verschenen die bezoekers met malware probeerden te infecteren. XHamster krijgt maandelijks bijna een half miljard bezoekers en staat op de 71ste plek van meest bezochte websites op internet.

De besmette advertenties voerden eerst verschillende controles uit. Zo werd er gekeken of de bezoeker Internet Explorer gebruikt en er bepaalde beveiligingsprogramma's zoals Wireshark en Fiddler actief waren, aldus anti-malwarebedrijf Malwarebytes. In het geval het om IE-gebruikers zonder de genoemde beveiligingstools ging werd ongemerkt een pagina met de Nuclear-exploitkit geladen. Deze exploitkit maakt gebruik van bekende beveiligingslekken in onder andere Adobe Flash Player en Internet Explorer die niet door gebruikers zijn gepatcht.

In het geval de aanval succesvol was werd er ransomware en andere malware geïnstalleerd. Na te zijn ingelicht verwijderde het advertentienetwerk TrafficHaus de besmette advertenties. Een paar dagen later verschenen er echter weer kwaadaardige advertenties op xHamster. Dit keer werd de browser-gebaseerde Browlock-ransomware verspreid. Deze ransomware bevindt zich niet op de computer, maar vergrendelt de browser via een speciaal JavaScript en stelt dat de gebruiker moet betalen om weer toegang te krijgen.

Wederom werd TrafficHaus ingelicht. Malwarebytes laat echter niet weten of de tweede ronde met kwaadaardige advertenties inmiddels is verwijderd. In januari en april verschenen er ook al besmette advertenties op xHamster.

Reacties (10)
25-09-2015, 16:03 door Anoniem
Dan vinden ze het gek dat mensen addblockers gebruiker.

Mja voor porno als Xhamster is er altijd een andere oplossing: Kodi+VideoDevil plugin. Hoef je niet eens meer voor naar hun webistes, alles netjes in categories en alleen de video's op een rij. :)
25-09-2015, 17:14 door bollie
Ik begrijp er geen barst van...de hele internetwereld is ongerust omdat men aan ziet komen dat meer en meer mensen adblockers gaan installeren......dat zou het hele verdienmodel onderuit halen.....maar dat er een hele goede reden voor is wordt over het hoofd gezien.......wanneer worden ze nu eens wakker?
25-09-2015, 19:45 door Anoniem
Dat verdienmodel is ontstaan en dient op dezelfde manier weer te verdwijnen. AdBlockers zijn een zegen voor de internetter, en zou wat mij betreft ook doorgetrokken kunnen worden naar radio en tv.
26-09-2015, 10:43 door Anoniem
Hebben ze nog steeds niet door dat reclame sowieso geen zin heeft?
Alsof ik opeens naar de winkel ren nadat mij ongevraagd een advertentie wordt voorgeschoteld. LOL
Op tv heeft reclame tenminste nog een functie - je kunt even naar de wc, of wat te drinken halen.
Op internet is het compleet overbodig en vooral link, vanwege malware. En de adverteerder kost het alleen maar geld. Wanneer leren ze het nu eens?
26-09-2015, 18:57 door Anoniem
Ik zou best voor 15 euro per maand een abo willen op xhamster filmpjes kijken als ik dan maar zonder reclame en (dus) veilig kan internetten en hun filmpjes en plaatjes kan bekijken.Volgens mij hebben ze wel premium accounts maar daar wordt je zeker ook nog met advertenties geconfronteerd? Ik vind dat xhamster zowiezo hun website beter moet beveiligen.Als zo'n bedrijf Traffic House elke keer malware in de filmpjes/op de site laat komen zou XHAMSTER maar eens moeten overwegen om met een ander bedrijf zaken te gaan doen,1 die zn zaakjes qua veiligheid (en de rest) wel op orde heeft.Dit is al de zoveelste keer dat dit gebeurd.Gewoon de 3 strikes and you are out policy volgen,3x fail= exit Traffic House!
28-09-2015, 02:19 door Anoniem
At this point, all attack attempts have been blocked, and they were blocked within 24 hours. We have established that there was a hack attempt on TrafficHaus, and not Xhamster. We believe that Xhamster is being unfairly targeted here as well as sex messenger app. The hacker made attempts to make it appear as if it was coming from messenger app and xhamster, but placing their code next to their ad unit in our system. Neither companies had anything to do with the attempt. Xhamster was pivotal in helping us catch the intrusion as well as information from their users. The attack was initially detected by a user complaint via Xhamster which were quickly acted upon to prevent further spread of the attempted malware attack. Our system flagged several attack attempts days before and do to the large audience of our clients and our ads we are of course a large target for these malicious attacks. All previous attempts were prevented, however this final attempt was not detected until after the malware had made it into the system, but was immediately blocked when made aware in less than 24 hours.

We have reviewed the logs, IPs, and accounts related to the malware injections. We are still investigating, and will update if we find out anything more. For now, it looks like the initial intrusion was via a user account hack in the czech republic and a Tor Exit Router in the US. We have the injection logged from a CZ IP Address (89.187.142.208) so we know it is related to the same incident as it corresponds with our change logs. When the hacker gained access to a password to one of our admin accounts, they injected that cookiecheck.js file into the advertiser’s creative on our side, making it look like it’s from the advertiser in attempts to make it more difficult to follow.
We believe the attack vector was unsecure wifi, as we had recently attended a conference in the Czech Republic.
We purged this from our system immediately upon finding it and it has been down since yesterday morning.

As Malwarebytes themselves and many tech blogs have said, we are more secure and more proactive at fighting malware than other systems on the internet. Xhamster and other pornsites we work with are not more dangerous than yahoo who was recently attacked as well or other sites. As they said we do allocate a lot of resources to fighting fraud and malware and more than most. We believe the shock value is just higher given the nature of the content:
“Segura told TechWeekEurope he didn’t think porn sites were necessarily more dangerous to visit than others with regards to this type of attack.
“There’s this idea that adult sites are more dangerous to visit than “regular” sites,” he said. “I don’t believe it’s entirely true especially for the top sites because they do dedicate a lot of resources to fighting fraud and malware. Based on what we have seen in the past months as far as malvertising goes, we have seen just as many top mainstream publishers as pornographic ones.””
Read more at http://www.techweekeurope.co.uk/security/virus/xhamster-malware-malvertising-porn-177529#qoDTlM2wetublqOP.99

Currently TrafficHaus has a 2 factor authentication system which requires an SMS in order to log into an account. The IP location may have been the fault in allowing the user to bipass so we are adding on a secondary flag layer even if the IP is authorized. In addition we also have RiskIQ and GeoEdge simultaneously scanning all ads and creatives, and our own proprietary scans and business methodologies for catching and removing exploits. In addition to that we have revamped our SMS authentication system to add additional layers to users when logging in, and another layer of secondary notification restrictions when ads are approved and code is pushed live to ad units. We have scans for user activity to isolate any intrusions. Furthermore we work directly with malwarebytes and other adtech pioneers in the space that are helping to prevent the spread of these malicious software and thank them for their help.

For now, we purged this from our system immediately upon finding it and it has been down since late in the evening of the 24th of September, early morning the 25th. Xhamster and our other partners number 1 concern is their users, their user experience, and delivering the best possible experience to them. We believe that is tarnished when news articles are released post these sort of one off situations after attacks have been blocked and solutions have been implemented. We will continue to work with them and other leaders in the adult space to prevent and eradicate these types of attacks and preserve a safe browsing experience for all.
29-09-2015, 15:37 door Anoniem
Door Anoniem:Op tv heeft reclame tenminste nog een functie - je kunt even naar de wc, of wat te drinken halen.

Advertenties op internet vertragen het laden van paginas zo veel dat je ook daar na het klikken op een link naar de WC kunt of even wat drinken kunt gaan halen, zodat je bij de volgende pagina weer naar de WC kunt.

Het is allemaal de schuld van de drankfabrikanten en de makers van WC-papier.

Peter
29-09-2015, 15:40 door Anoniem
Door Anoniem: Ik zou best voor 15 euro per maand een abo willen op xhamster filmpjes kijken als ik dan maar zonder reclame en (dus) veilig kan internetten en hun filmpjes en plaatjes kan bekijken.Volgens mij hebben ze wel premium accounts maar daar wordt je zeker ook nog met advertenties geconfronteerd?

Geen idee. Moet je misschien even bij hen navragen?

Ik vind dat xhamster zowiezo hun website beter moet beveiligen.Als zo'n bedrijf Traffic House elke keer malware in de filmpjes/op de site laat komen zou XHAMSTER maar eens moeten overwegen om met een ander bedrijf zaken te gaan doen,1 die zn zaakjes qua veiligheid (en de rest) wel op orde heeft.Dit is al de zoveelste keer dat dit gebeurd.Gewoon de 3 strikes and you are out policy volgen,3x fail= exit Traffic House!

Ook bij sites als nu.nl, telegraaf.nl enz komt dit regelmatig voor. Er zijn maar een paar grote advertentienetwerken en hen maakt het niet uit wat de eindgebruiker voorgeschoteld krijgt. Hun naam hangt er niet aan en zij hebben er dus geen last van.

De bedrijven op een zwarte lijst plaatsen is een oplossing, maar dat gebeurt al via adblockers.

Peter
29-09-2015, 18:46 door ben987
Door Anoniem: Hebben ze nog steeds niet door dat reclame sowieso geen zin heeft?
Alsof ik opeens naar de winkel ren nadat mij ongevraagd een advertentie wordt voorgeschoteld. LOL
Op tv heeft reclame tenminste nog een functie - je kunt even naar de wc, of wat te drinken halen.
Op internet is het compleet overbodig en vooral link, vanwege malware. En de adverteerder kost het alleen maar geld. Wanneer leren ze het nu eens?
reclame op internet heeft zeker weinig effect!
daarentegen heeft reclame in het algemeen op tv en folders wel zeker effect !
hoe zou jij anders een product bekend willen maken bij het publiek/de hele wereld zonder reclame ?

reclame doet heel veel in het onderbewustzijn, je ziet het nieuwste model smartphone of een laptop of een bank die de hoogste rente geeft enz enz, en je gaat naar de winkel om dat ding te scoren of naar die bank om een spaarrekening te open !

hoe had je het anders moeten weten als er geen reclame voor gemaakt was ?
30-09-2015, 02:28 door CrioWria
Door Anoniem: Op tv heeft reclame tenminste nog een functie - je kunt even naar de wc, of wat te drinken halen.
Ik druk hier dan gewoon op pauze. Overigens doe ik dat al geruime tijd voordat 'n programma start, reclames en de niet interessante stukken spoel je dan gewoon vooruit, maakt TV kijken weer enigszins dragelijk.
DWDD en het NOS-staatsjournaal kijk ik beide gemiddeld zo binnen de 10 minuten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.