Nu.nl serveerde urenlang malware

nu-nl-malwareNu.nl heeft woensdag urenlang malware aan bezoekers geserveerd, bevestigt Nu.nl na een melding van beveiligingsbedrijf Fox-IT. Dat bedrijf kwam de problemen op het spoor toen zijn klanten werden geïnfecteerd. Het zou gaan om banking-malware.

Fox-IT schrijft op zijn weblog dat meerdere klanten werden geïnfecteerd via malware die afkomstig was van Nu.nl. Het ging om malware die werd aangeboden via een advertentie. Volgens Fox-IT was waarschijnlijk de software die de advertenties toonde gehackt.

Nu.nl bevestigt dat de website woensdag ‘korte tijd’ malware heeft verspreid; dat zou zijn gebeurd via een ‘aangesloten advertentienetwerk’. Onderzocht wordt nog hoe vaak en hoe lang de malafide advertentie is getoond. “Dat weten we nu nog niet”, aldus woordvoerster Mariëlle Paul van Nu.nl-uitgever Sanoma. Wel weet Paul te melden dat enkel Windows-systemen het doelwit waren van de besmetting.

Het beveiligingsbedrijf zag woensdag tussen kwart voor 11 en half vier meerdere besmettingen via Nu.nl. Daarbij werd geprobeerd om via een exploit-kit de banking-malware Zeus te installeren. Die malware wordt gebruikt om logingegevens te onderscheppen en betalingen te manipuleren. Volgens Fox-IT werd de desbetreffende exploit op VirusTotal door 45 van de 47 virusscanners niet herkend.

Volgens Fox-IT werd de malware verspreid vanaf het ip-adres 195.3.147.191, gevestigd in Letland. Systeembeheerders kunnen kijken of via hun servers contact is geweest met dat ip-adres, om te zien of er besmettingen hebben plaatsgevonden. De command-and-control-servers van de aanvallers zijn gehost op de ip-adressen 67.211.197.91 en 91.223.88.144.

Bron: tweakers.net