Volgens Mark Loman van securitybedrijf SurfRight zat een Javascriptcode verstopt in een advertentie die een aangepaste versie van Sinowal-malware probeerde te installeren. Loman ontdekte de exploit bij toeval, schrijft Security.nl. De gewraakte advertentie is inmiddels offline gehaald.

Onbekend is of er bezoekers van Nu.nl zijn geïnfecteerd en hoeveel dat er zijn. Loman zegt zelf dat er tientallen infecties zijn waargenomen. De Sinowal rootkit infecteert de Master Boot Record en wil met name bankgegevens stelen. De malware zou vanaf 11.30 uur hebben meegedraaid met de site en zou komen vanaf een Indiase server.

'Geen risico meer voor bezoekers'

Volgens Nu.nl is er geen enkel risico voor de bezoeker nadat de nieuwssite maatregelen heeft genomen. Onbekend is welke maatregelen dat zijn. Op een verzoek voor meer informatie is nog geen reactie gekomen.

Volgens Loman gaat het om een gerichte aanval op de bezoekers van Nu.nl. De aanvaller zou toegang hebben gehad tot de webserver en die zelfs tijdens de aanval nog hebben benaderd om de verwijzing naar de Indiase server te wijzigen omdat de eerste server het vele verkeer niet aankon.

Update 16.09: Volgens Nu.nl is een inlog van het CMS in verkeerde handen gevallen waardoor de aanvaller een code kon plaatsen op de site, Van daaruit werd malware ingeladen vanuit een server uit India. Nu.nl zegt alle accounts van het CMS te hebben ingenomen en nieuwe accounts te hebben uitgegeven. De code is verwijderd van de site en nu worden de logs geanalyseerd.

De site wordt nu geheel opnieuw geïnstalleerd, zegt Nu.nl in de verklaring. Dat moet naar verwachting rond 02.00 zijn afgerond. Zowel intern als extern worden extra veiligheidsscans uitgevoerd. "We stellen bovendien een uitgebreid onderzoek in en daar waar mogelijk worden er verbeteringen aangebracht."