Gevaarlijke omleiding op videosite Dailymotion

Bezoekers van het populaire Dailymotion werden omgeleid naar een website waar de Sweet Orange Exploit Kit hun systeem probeerde te infecteren.

dailymotion-logo-malware-infectie.png

De populaire videowebsite Dailymotion is enkele dagen geleden gehackt. Dat weet beveiligingsspecialist Symantec. Surfers die de website probeerden te bezoeken werden omgeleid naar een andere website, waar de Sweet Orange Exploit Kit hen zat op te wachten. Die Exploit Kit is, zoals de naam al wel doet vermoeden, malware waarmee je systeem geïnfecteerd kan raken.

Hackers injecteerden een iframe (een soort HTML-code) in de website. Die code stuurde bezoekers naar de verwarrende landingspagina van de Sweet Orange Exploit Kit. Op die pagina zocht de Exploit Kit naar kwetsbaarheden in het systeem van de bezoeker. Sweet Orange is in staat bugs in Java, Internet Explorer en Flash Player uit te buiten. Wanneer de kit een open achterpoortje detecteert, wordt het systeem van de bezoeker besmet met een Trojaans paard.

Dat paard, een Trojan Adclicker, klikt in jouw plaats op advertenties. Zo moeten adverteerders betalen omdat er op hun advertenties geklikt wordt, ook al bezoekt in werkelijkheid niemand de advertentielinks. Intussen is de website van Dailymotion schoongemaakt en bestaat er geen gevaar meer voor infectie.

Zulke aanvallen van hackers kunnen in theorie overal voorkomen. Daarom is het belangrijk om steeds up-to-date software te gebruiken. Een exploitkit kan immers geen kwetsbaarheid vinden die er niet meer is.

Besmette banners Nu.nl

Afgelopen week werden ook enkele grote Nederlandse sites, waaronder Nu.nl en Voetbalzone.nl, slachtoffer van een aanval via besmette banners, die eveneens de Sweet Orange-kit gebruikte. Een externe advertentie-aanbieder had de advertenties verspreid.

Wordt geen gehackte site!

ACM ontdekte het virus door informatie van computerbeveiligingsbureau Fox-IT. De toezichthouder doet momenteel zelf onderzoek naar de zaak. Volgens een zegsvrouw is het mogelijk dat een buitenlandse partij achter het virus zit.

Kies voor het origineel: http://www.antimalwarescan.nl

Gevaarlijke browserextensie kaapt Facebook-accounts

Microsoft waarschuwt gebruikers van de internetbrowsers Mozilla Firefox en Google Chrome voor een kwaadaardige browser-extensie die Facebookaccounts kaapt. Dit meldt de Fraudehelpdesk.

facebook-malware

De zogeheten ‘Trojan’ neemt Facebook-accounts over en installeert malware, waarmee allerlei ongewenste acties worden uitgevoerd.

Zo kan de malware berichten delen en op andere profielen plaatsen, commentaar geven, pagina’s liken, vrienden uitnodigen en zelfs chatten. Een veelgebruikte kwaadaardige link in één van de malware-posts is inmiddels geblokkeerd door Facebook.

De malware is voor het eerst opgedoken in Brazilië en de Facebook-berichten die ermee worden gepost, zijn geschreven in het Portugees. Volgens Microsoft is de kans aannemelijk dat andere landen volgen.

Het advies is om alle beveiligings-producten up-to-date te houden en extensies en add-ons alleen bij betrouwbare plaatsen zoals de Chrome Web Store en Firefox Add-ons te downloaden.

Wordt geen gehackte site!

Kies voor het origineel: http://www.antimalwarescan.nl

Honderdduizend bezoekers NU.nl wellicht besmet met malware

Naar schatting honderdduizend bezoekers van nieuwssite NU.nl zouden woensdagmiddag besmet zijn geraakt met de Sinowal-trojan. Ook zouden de meeste antimalware-tools niet in staat zijn om de desbetreffende trojan te verwijderen.

Dat meldt Security.nl. Beveiligingsfirma Fox-IT zou via detectiesoftware die het bij bedrijven heeft draaien, verdachte activiteiten hebben waargenomen bij bezoeken aan de NU.nl-website. Als de cijfers worden geëxtrapoleerd, zou het getal van naar schatting honderdduizend met de Sinowal-malware geïnfecteerde systemen resulteren. Volgens onbevestigde berichten zijn bij één bedrijf zelfs 500 systemen besmet geraakt.

Hackers wisten woensdag via het contentmanagementsysteem van NU.nl een javascript-bestand op de server van de nieuwssite te plaatsen. Dit script haalde een exploit-kit van een server in India. Via kwetsbaarheden in verouderde versies van onder andere Adobe Reader en Java konden vervolgens Windows-systemen met de roemruchte Sinowal-trojan worden besmet.

De Sinowal-trojan nestelt zich onder andere op de master boot record van de harde schijf. Dit zou voor het merendeel van de antimalware-tools problemen opleveren. De firma Surfright, die woensdag als eerste melding maakte van de malware op NU.nl, heeft een versie van zijn HitmanPro-pakket uitgebracht die Sinowal wel zou weten te verwijderen.

Een andere mogelijkheid is om te starten met een bootable cd-rom of usb-stick en het ‘fix mbr’-commando te draaien. Daarbij wordt de bootsector opnieuw aangemaakt. Een complicerende factor is echter dat de nieuwe Sinowal-variant, die uit is op het stelen van bankgegevens, controleert of de module in de master boot record aanwezig is. Als deze hook door antimalware-software is verwijderd, wordt hij weer teruggeplaatst.

Inmiddels heeft Waarschuwingsdienst.nl, een informatiesite van de Rijksoverheid, een melding over het malware-incident bij Nu.nl geplaatst. Een concreet stappenplan om de Sinowal-malware van een besmet systeem te verwijderen, biedt de website echter nog niet aan.

Bron Tweakers

Wordt geen gehackte site. Beveilig uw website of webwinkel met een Anti Malware Scan.

Kies voor het origineel: http://www.antimalwarescan.nl