Nu.nl serveerde kortstondig malware

quote:

Nu.nl heeft circa een uur lang javascript-code geserveerd die poogde om bezoekers van de nieuwssite met een trojan te besmetten. De aanvallers maakten gebruik van servers in India waarop een exploit-kit was geplaatst.

Erik Loman, ontwikkelaar bij beveiligingsfirma SurfRight, maakte op Twitter bekend dat op de voorpagina van de nieuwssite javascriptcode 'g.js' was verstopt. De code activeerde volgens Loman een nuclear exploit pack dat op een webserver in India was geplaatst. Het exploit-script controleerde de browser en veelgebruikte plugins als Flash en Adobe Reader op beveiligingsgaten. Als er een exploit werd gevonden, verstuurde de server de Sinowal-malware, een trojan van Russische makelij, die continu wordt bijgewerkt en poogt bankgegevens te stelen. Sinowal nestelt zich op de master boot sector en wordt bij elke herstart van een computer ingeladen.

Volgens Loman heeft Nu.nl de malware tussen circa 11.30 en 12.30 geserveerd. Mogelijk is bewust gekozen voor deze tijd, omdat de nieuwssite rond lunchtijd meer bezoekers zal trekken. Ook zou de aanvaller rond 12.00 de javascript-code hebben aangepast om zo naar een andere server te verwijzen waarop de exploit-kit was geplaatst. Loman stelt verder dat er al meldingen zijn van Windows-gebruikers die met malware besmet zijn geraakt.

Het is onduidelijk hoe de aanvallers de javascript-code op de server van de nieuwssite hebben weten te plaaten. Nu.nl heeft inmiddels de gewraakte javascript-code bevatte, offline gehaald. Ook zal de nieuwssite een onderzoek instellen.