Java.com, Kapaza.be verwijzen door naar malware

27/08/14 om 15:19 - Bijgewerkt om 15:19

Bron: Datanews

Securityspecialist Fox IT ziet hoe sites doorverwijzen naar advertenties met een malware-lading. (update)

Java.com, Kapaza.be verwijzen door naar malware

Op de blog van de Nederlandse securityexpert Fox IT wordt beschreven hoe door het systeem van 'metadata verkoop bij opbod' de gebruikers uiteindelijk via gereputeerde sites toch malware in de maag kunnen worden gesplitst. Fox IT zag dergelijke problemen bij onder meer sites als Java.com, Kapaza.be, IBTimes.com, TMZ.com en anderen.

Opbod in reële tijd

Het probleem staat gekend als 'malvertising' en heeft te maken met het in reële tijd opbieden voor metadata over de bezoeker van een site. Bij het contacteren van een site maakt een gebruiker heel wat informatie over zichzelf bekend, zoals locatie, gebruikte browser en nog meer. Als op de bezochte site ruimte voor advertenties is voorzien, kan die metadata in reële tijd aan mogelijke advertentieaanbieders worden aangeboden. Wie bij opbod het meeste biedt, kan zijn advertentie plaatsen en als die bieder een cybercrimineel is, krijgt de gebruiker een besmette advertentie toegezonden. Fox IT zag zo onder meer de Angler 'exploit kit' verspreid worden, die zoekt naar kwetsbare versies van Java, Flash of Silverlight. Als die er zijn, wordt vervolgens malware doorgestuurd. Dat bleek overwegend de Asprox malware voor de verspreiding van spam te zijn, aldus de waarnemingen van Fox IT. Er wordt benadrukt dat "niet op de malfide advertentie moet worden geklikt om te worden geïnfecteerd. Alles gebeurt stilletjes in de achtergrond terwijl de advertentie wordt ingeladen door de browser van de gebruiker."

Dergelijke malafide praktijken zijn moeilijk te onderkennen, stelt Fox IT, omdat de aanbieder van de boosaardige advertentie op verschillende niveaus in het biedingsplatform zich schuil kan houden, terwijl de malafide praktijk gewoonlijk slechts aan de client-zijde merkbaar is. Ook kan het gebeuren dat de aanbieder van advertentie op basis van de metadata van de gebruiker, onbewust een link legt naar een besmette advertentie, en zo het systeem van de gebruik aantast.

Advies

Er is geen makkelijk totaaloplossing tegen malvertising, stelt Fox IT.Het bedrijf adviseert om 'click to play' in de browser te activeren, zodat plug ins van derden niet automatisch worden gedraaid. Voorts moet de gebruiker continu de plug ins in de browser bijwerken, en kan hij best plugins die niet meteen nodig zijn, uitschakelen. "Zo kan je Java installeren zonder de plug-in component, wat het risico op misbruik en infectie verkleint."

UPDATE: Kapaza.be meldt dat ondertussen meer informatie werd gegeven door Fox IT: "De advertenties in dit geval [ttz Kapaza.be] zijn vanuit AppNexus uitgegeven, [en] niet direct de Kapaza.be site. We hebben na het ontdekken al contact genomen met de advertisement provider in kwestie. Sinds vorige week vrijdag, 22 {+ } aug, hebben we geen malafide verkeer meer waargenomen." (Fox IT)

Onze partners