Beheerders van hostingbedrijf Digitalus spreken in de melding over dit incident van een storing aan de DNS-omgeving. "De oorzaak van deze storing hebben wij nog in onderzoek." Hierdoor is de Nederlandse webwinkel Conrad.nl plots malware gaan aanbieden. Die kwaadaardige software bevond zich niet op de site zelf, maar werd aan bezoekers bezorgd doordat de domeinnaam naar een ander IP-adres verwees.

'Honderden websites'

Het gaat om de beruchte exploitkit Blackhole, die gaten in onder meer Java en Adobe Reader kan benutten om zijn lading binnen te krijgen op kwetsbare computers. Formeel stelt Conrad dat het om een storing gaat, omdat de oorzaak nog onduidelijk is. Vanmorgen is de hele site offline gehaald.

Security-expert Yonathan Klijnsma van Fox-IT meldt op Twitter dat honderden websites het slachtoffer zijn geworden. Dit zijn websites die de DNS-servers gebruiken van hoster Webstekker. Die prijsvechter valt onder hetzelfde moederbedrijf als Digitalus en VDX, weet tech-nieuwssite Tweakers te melden. Naast Conrad zijn ook de websites van vakbond CNV en de Nederlandse DJ Hardwell geraakt door deze DNS-hack.

De zo gedistribueerde malware komt in verschillende varianten binnen, waaronder een naast een dll-bestand ook een .exe die zich voordoet als .jpg. Het wordt nog maar weinig herkend door virusscanners, blijkt uit metingen door metascanner VirusTotal. Eenmaal binnengekomen communiceert de software via anonimiseringsdienst TOR (The Onion Router).

De Nederlandse webwinkel Conrad was niet het enige slachtoffer: