ACM waarschuwt consumenten voor computervirus

Iedereen die afgelopen maandagavond bekende webwinkels en andere populaire websites heeft bezocht en gebruikt maakt van Windows wordt geadviseerd een virusscan te doen om daarmee verdachte bestanden te verwijderen, zegt een woordvoerster van de toezichthouder. Ook kunnen deze mensen komende tijd het beste hun bankrekening in de gaten houden of er niet door onbekenden bedragen zijn afgeschreven.

De ACM kan niet zeggen om welke websites het precies gaat. Het gaat om grote online merken, onder meer op het gebied van nieuws, dating, kleding, tassen, reizen, boeken, muziek en verzekeringen. De getroffen sites hebben zelf niets met het virus te maken. Het virus is daar nu ook niet meer actief.

Het komt niet vaak voor dat ACM een dergelijke waarschuwing naar buiten brengt. 'Wij doen dit niet zomaar', stelt de zegsvrouw. 'Vooral niet of slecht beveiligde computers met verouderde software hebben een grote kans besmet te zijn geraakt, ook al heeft de consument niets 'raars' gemerkt aan zijn computer en niets aangeklikt op de websites.'

ACM ontdekte het virus door informatie van computerbeveiligingsbureau Fox-IT. De toezichthouder doet momenteel zelf onderzoek naar de zaak. Volgens een zegsvrouw is het mogelijk dat een buitenlandse partij achter het virus zit.Update 15:30 uur: 'O.a. Arke, Marktplaats, Wehkamp, en Zalando verspreidden malware'

De websites van Arke, VGZ, Groupon en Zalando zijn de mogelijke verspreiders van het trojan virus. Dat blijkt uit een bericht op Twitter van Yonathan Klijnsma, security specialist bij Fox-it. Dit bericht verscheen overigens maandagnacht al op Twitter. De ACM deed de waarschuwing pas op vrijdag.Tweakers.net wist het lijstje dinsdag aan te vullen met onder meer Marktplaats, Wehkamp, Lexa, Groupon en Neckermann, maar ook Saxion Hogescholen. Verder werd een aantal reissites getroffen, zoals Vakantieveilingen en Boekvandaag.nl. Ook webwinkels ECI en BagageOnline werden getroffen.

Naar aanleiding van bovenstaand nieuws stelden wij vier vragen aan oud hacker Rickey Gevers, werkzaam bij Digital Investigation.1: Hoe werkt het virus?

Er worden waarschijnlijk verschillende virussen verspreid dus het is lastig zeggen. Maar het virus waar het meeste over gesproken word is een 'banking trojan' met de naam Qadars.

Qadars staat erom bekend met name Nederlandse gebruikers aan te vallen, maar ook: Frankrijk, Canada, India, Australie en Italië. Het probeert geld van gebruikers te stelen door middel van een Man in the Browser aanval (MitB). De gebruiker ziet gewoon de webpagina van de betreffende bank, vult zijn gegevens in voor een transactie, en de malware zal vervolgens, onder de motorkap de geadresseerde bankrekening veranderen en het amount verhogen. De gebruiker ziet hier verder niets van.

Qadars is ook in staat mobiele telefoon te infecteren. Wanneer de telefoon van een gebruiker niet geïnfecteerd is zal Qadars dit registeren, vervolgens komt de malware met een melding op het beeldscherm van de gebruiker dat deze gebruiker aanvullende veiligheidsmaatregelen op de telefoon moet installeren. Hiervoor laat het een QR code zien die de gebruiker moet scannen. Zodra deze QR code word gescand zal er getracht worden een applicatie op de telefoon te installeren. Deze applicatie is vervolgens in staat sms-jes te onderscheppen. De malware zal nu onder de motorkap een transactie uitvoeren, de bank verstuurt vervolgens een sms code naar de telefoon van het slachtoffer, en deze sms wordt vervolgens door de malware op de telefoon afgevangen en terug gestuurd naar de malware, waarna de transactie succesvol zal worden uitgevoerd.2.Hoe kan het via grote websites verspreid worden?

De grote websites waar het in dit geval om gaat zijn websites die gebruik hebben gemaakt van AppNexus van AdLantic. De betreffende pagina serveerde code welke onder beheer van AppNexus was. Een vanuit Oekraine gehackt AppNexus account bleek de oorzaak van dit probleem. Aanvallers hebben via dit account de code van AppNexus kunnen aanpassen en deze naar een pagina van henzelf laten verwijzen.3. Kun jij aangegeven om welke websites het gaat?

Bij mij zijn bekend dat de volgende website de malware verspreidde: Arke.nl vgz.nl, groupon.nl, zalando.nl. Dit heb ik gelezen in een bericht van Yonathan Klijnsma, security specialist bij Fox-it. Het bericht is hier te lezen.4. Wat kunnen consumenten doen?

Het eenvoudigste is een antivirus scanner te gebruiken, een voorbeeld is Google Pack, maar hier staan nog veel meer alternatieven.Advertentiebedrijf Adlantic: Trojan 1,5 uur actief.

Radar heeft de hand weten te leggen op een brief die het advertentiebedrijf Adlantic verstuurde. De daders gebruikten de dienst AppNexus van Adlantic om het virus te verspreiden. Het bedrijf heeft in een brief laten weten dat het specifiek gaat om bezoekers die maandagavond 20:30 en 21:50 uur op de websites online zijn geweest. Het bedrijf laat aan haar klanten weten dat zij hun bezoekers op de hoogte kunnen stellen van het voorval. Of alle websites dit hebben gedaan is vooralsnog onbekend.

Het Nationaal Cyber Security Centrum van de overheid heeft de server die de daders gebruikten inmiddels offline gehaald.

Bron: ANP / Consuwijzer / TROS Radar / Tweakers