Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Spotify Free - Besmette advertenties (b.yu0123456.com)

04-10-2016, 21:38 door Vixen, 10 reacties
Laatst bijgewerkt: 05-10-2016, 15:21
Gegroet medegebruikers van Security.NL.

Ik was lekker mijn dingetje aan het doen op mijn computer, toen ik per ongeluk uitschoot met mijn muis en op mijn tweede beeldscherm *iets* aanklikte in het spotify venster. Mijn browser opende, en na een stuk of 5 snelle redirects kreeg ik een website met de klassieke "adobe flash outdated" clickbait, gelijk weggeklikt, en volledige systeemscan gedaan met avast. Schoon. Ik Googlede (Googelde?) even op het domein van de website, en op pagina twee van de resultaten stond al een klacht op de Spotify website.

Googlen op het domein + spotify gaf gelijk al veel hits. Onder andere Spotify support, maar ook Reddit posts van maar enkele uren oud.

VirusTOTAL scan van het domein: https://www.virustotal.com/nl/url/b693f4a71c934f1f12dad0a1fcfc4976738474f1f491fd1fa4ad6fb8510136a7/analysis/
geeft op moment van schrijven 1 / 68 detecties.

Ik heb dus het idee dat Spotify Free gevaarlijke advertenties laat zien.
Ook heb ik alle lopende processen in taskmanager gecheckt, de autostartup items gecheckt, en ik heb elke service in services.msc gecheckt. Ook heb ik de extensies van Chrome en Edge gecheckt, harde schijf scan gedaan op de domeinnaam, en een registry scan gedaan op het domeinnaam. Ziet er allemaal normaal uit / geen resultaten.
(Als jullie nog meer ideeën hebben van dingen die ik kan nalopen en checken, reageer hieronder!)

Ook heb ik de hash van mijn Spotify versie op virustotal gecheckt, en het is een gewone schone spotify.exe.

Als je googled op spotify yu0123456.com:

- 16 hours ago: https://community.spotify.com/t5/Ongoing-Issues/Spotify-Free-ads-causes-browser-to-launch-on-malware-virus/idi-p/1461222
- a week ago: https://community.spotify.com/t5/Ongoing-Issues/Weird-Pop-Under-Advertisements/idc-p/1460237/tab/html
- 4 hours ago: https://www.reddit.com/r/linuxquestions/comments/55trr5/uh_help_im_getting_random_sketchy_popupspopunders/?st=itvvgpgj&sh=52d514d6
- 5 hours ago: https://www.reddit.com/r/archlinux/comments/55tq0p/uh_help_im_getting_random_sketchy_popupspopunders/?st=itvvgnwt&sh=2c76ade6
- 8 hours ago: https://community.spotify.com/t5/Desktop-Linux-Windows-Web-Player/Spotify-ads-hacked/td-p/1460320/page/2

Het lijkt mij dus een redelijke recente besmetting aan de kant van spotify, iets wat overigens in het verleden ook al is gebeurd, zie http://www.bbc.com/news/technology-12891182 en https://threatpost.com/malicious-ads-serving-malware-spotify-users-032511/75068/


Een voorbeeld van de redirects, in deze screenshot van mijn geschiedenis: https://i.imgur.com/JdmMJU9.png (ja, ik ben twee keer uitgeschoten met klikken, en raakte daarbij een advertentie)


Daarom, lijkt het mij verstandig voor iedereen om *.yu0123456.com/* alvast even te blokkeren m.b.v. de firewall, antivirus, hosts file etc, o.a. omdat nog bijna geen enkele virusscanner het al als malware ziet!
Ik hoop dat mijn post waardevol is voor iemand :)


EDIT: 1 dag later, is het ook op tweakers en nu.nl verschenen. (Bedankt anonieme reacties)
http://www.nu.nl/internet/4331761/spotify-toont-malware-advertenties-gratis-gebruikers.html
https://tweakers.net/nieuws/116419/gratis-desktopversie-spotify-opent-pop-ups-met-malvertising-in-browser.html
Zal het binnenkort ook hier op SECURITY.nl verschijnen? ;-)

EDIT 2: ook security.nl redactie heeft er nu over gepost :) https://www.security.nl/posting/487925/Spotify+Free+stuurt+geïnfecteerde+advertenties+naar+haar+gebruikers

Meer informatie word toegevoegd zodra ik meer weet.
Stay safe.

Vixen
Reacties (10)
04-10-2016, 22:42 door SecGuru_OTX
Dank, ik ben van mening dat het heel goed is om dit soort informatie te delen.

yu0123456[.]com staat bekend als (b)adware.

Omdat de advertentie binnen Spotify zelf is gepubliceerd, kun je deze niet altijd blokkeren met een AdBlocker.

Voor thuis "kun" je er voor kiezen om OpenDNS Home (free) te gebruiken, daar kun je Ads en WebSpam blokkeren.
04-10-2016, 23:20 door Anoniem
Bedankt!

Ik kreeg deze pop-ups vandaag ook. Ik vond het zéér vreemd, want ik draai tíg programma's en add-ons juist om infecties via o.a. advertenties te voorkomen. Het enige waar ik nog advertenties bij had was Spotify. Ik begreep het in eerste instantie niet, maar dankzij dit bericht werd mij het één en ander duidelijk.

Ik kreeg overigens geen melding van infectie bij zowel Avast Antivirus Free en Malware Bytes, maar wel bij AdwCleaner. Met die laatste de adware dus kunnen verwijderen, maar deze bleef terugkomen. Uiteindelijk, toen ik er dus achter kwam dat het aan Spotify Free lag, heb ik Spotify verwijderd én de adware. Duidelijk dat Spotify nimmer terug op mijn desktop te vinden zal zijn.
05-10-2016, 10:16 door Vixen
Door Anoniem: Bedankt!
[Knip]
Uiteindelijk, toen ik er dus achter kwam dat het aan Spotify Free lag, heb ik Spotify verwijderd én de adware. Duidelijk dat Spotify nimmer terug op mijn desktop te vinden zal zijn.

Was je computer geïnfecteerd met de adware? Was de adware op jouw system aanwezig op zichzelf (als executable of script) Zo ja, waar bevond het zich?
Dan kan ik het ook van mijn systeem verwijderen indien van toepassing :)

Bedankt voor je reactie!
05-10-2016, 10:27 door Anoniem
Door SecGuru_OTX: Dank, ik ben van mening dat het heel goed is om dit soort informatie te delen.


Omdat de advertentie binnen Spotify zelf is gepubliceerd, kun je deze niet altijd blokkeren met een AdBlocker.

Dat kan overigens wel, er zijn bekende domeinen waar de ads van Spotify vandaan komen. Die kun je op hosts-niveau blokkeren...
05-10-2016, 10:57 door Anoniem
Beste allemaal,

Ik ben dus gelukkig niet de enige. Ik kreeg gister een melding dat mijn laptop was geblocked, en dat ze mijn inlog gegevens hadden van facebook, en mijn credit card gegevens hadden. Ik moest naar een +44 telefoon nr bellen (engeland) om mijn laptop te unlocken. Doe ik natuurlijk niet. En nu kreeg ik net een andere dat ik mijn finder moest updaten, of terms moest agree'en. (Ik zit op mac) En het was geen legitieme webadres. Ik heb spotify client maar verwijderd, en vervolgens chrome verschoond. (de popups komen alleen in mijn chrome, heb ook safari en mozilla firefox, maar die doen niks.)

Ik heb spotify ook een mail gestuurd. ;)

Grt Daan
05-10-2016, 11:43 door Anoniem
Nu ook op Tweakers:

https://tweakers.net/nieuws/116419/gratis-desktopversie-spotify-opent-pop-ups-met-malvertising-in-browser.html
05-10-2016, 11:58 door Anoniem
05-10-2016, 13:06 door Vixen - Bijgewerkt: 05-10-2016, 13:07
Door Anoniem: Nu ook op Tweakers:

https://tweakers.net/nieuws/116419/gratis-desktopversie-spotify-opent-pop-ups-met-malvertising-in-browser.html

Bedankt voor jullie bijdragen, ik heb het in de post gezet!
05-10-2016, 15:34 door [Account Verwijderd]
[Verwijderd]
07-10-2016, 15:49 door Vixen
Hey,

We've identified an issue where a small number of users were experiencing a problem with questionable website pop-ups in their default browsers as a result of an isolated issue with an ad on our Free tier. We have now identified the source of the problem and have shut it down. We will continue to monitor the situation. If you see this issue again, please let us know the exact date and time in this thread.

Thanks as always for bringing your reports to the Community!
Bron: https://community.spotify.com/t5/Ongoing-Issues/Spotify-Free-ads-causes-browser-to-launch-on-malware-virus/idi-p/1461222

Spotify heeft dus dit probleem aangepakt, en het zou niet meer moeten gebeuren. Maar dat wil niet zeggen dat deze manier van virussen verspreiden nu stopt. Ik laat Spotify nog een tijdje uitstaan, maar uiteindelijk is het enige wat we verder kunnen doen vertrouwen dat het goed is...

Vixen
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.