De prijsvergelijkingswebsite Beslist.nl heeft dinsdag tussen 14.00 en 18.00 uur de Zeus-malware Zbot verspreid. Hackers hebben een banner gekaapt en op die manier een drive-by veroorzaakt. Het is niet bekend hoeveel mensen slachtoffer zijn geworden. De site wordt dagelijks naar eigen zeggen door zo'n 250.000 Nederlanders bezocht.

Malware maakt botnet

De malware werd na enkele uren ontdekt. “Onze beveiligers wezen ons op de malware", vertelt woordvoerder Carla Vaandrager van de site aan Webwereld. “Ook zagen bezoekers een melding van Google." Safe Browsing van Google blokkeert actief websites die tijdelijk malware verspreiden in aangesloten browsers als Firefox, Safari en Chrome. In de loop van de avond haalde Google beslist.nl van zijn zwarte lijst.

Volgens beslist.nl gaat het om Zeus-malware. De bankingtrojan wordt opgemerkt door bijgewerkte virusscanners. Eenmaal ingeslagen voegt de malware zijn slachtoffer toe aan een botnet. Het voornaamste doel van Zeus is om bankgegevens te verzamelen en door te sturen naar een C&C-server.

Beslist overweegt aangifte

De prijsvergelijker denkt erover aangifte te doen. “We hebben het in overweging, maar dat is nog niet concreet", aldus de woordvoerder. Samen met de directeur wordt nog gekeken wat er precies is voorgevallen. Ondertussen doet beveiligingsbedrijf Fox-IT verder onderzoek naar de hack.

In een persverklaring stelt directeur Kees Verpalen van beslist.nl dat het aantal besmettingen waarschijnlijk meevalt. “Er zijn weinig klachten binnengekomen vanuit gebruikers en de malware was snel gevonden en verwijderd", aldus Verpalen.

Malware drive-by

De malware die via Beslist.nl werd verspreid, maakt handig gebruik van gaten in bijvoorbeeld java, waardoor gebruikers met verouderde plug-ins of een oudere browser zichzelf blootstellen aan de trojan.

Advertentieplatforms die grote websites gebruiken worden wel vaker overgenomen. Zo werd onlangs ingebroken bij het OpenX-platform van weeronline.nl en een banner gekaapt. En ook in dat geval werd de Zeus-malware geïnjecteerd. Eerder dit jaar braken hackers in op het cms van Nu.nl en zetten op die manier een drive-by op in een advertentie.