Boeven besmetten banners op Nu.nl

Via een besmette advertentieserver hebben sites als Nu.nl en Voetbalzone dinsdag malware verspreid, tweette security-expert Yonathan Klijnsma van Fox-IT. De sites zelf konden er niets aan doen. Ze waren slachtoffer van een malafide partij in het externe advertentienetwerk dat banners serveert. Nu.nl zette een uur na Klijnsma's tweet tijdelijk alle advertenties op zijn sites uit, aldus Tweakers. Inmiddels staan ze weer aan.

Welke malware precies is verspreid is nog niet duidelijk, maar het ging om een variant die de exploitkit SweetOrange EK gebruikte om via lekken in software zich te installeren. Het is niet voor het eerst dat Nu.nl wordt gebruikt om malware te verspreiden. Dat gebeurde ook in juni 2013, destijds via een gekraakt advertentienetwerk waar meerdere grote Nederlandse sites slachtoffer van waren.

De schuld ligt deels wel bij de advertentieplatformen 360yield en DoubleClick. Die hebben de malicieuze banner-aanbieder inmiddels geblokkeerd en de gebruikte servers uit de lucht gehaald.

Volgens Klijnsma zal de schade binnen bedrijven waarschijnlijk meevallen gezien de hoge poortnummers die de exploit gebruikte. Maar als je de hostnamen uit deze tweet in je browserhistorie tegenkomt, is 't toch wel aan te raden even een virusscan te draaien...