Nieuwssite NU.nl heeft gisteren enkele uren de bankingtrojan ZeuS verspreid. Dat meldt beveiligingsbedrijf Fox-IT op diens blog. Tussen 10.42 uur en 15.34 bleek een advertentie op de site afkomstig te zijn van een landingspagina van Sweet Orange. Dat is een exploitkit waarmee cybercriminelen eenvoudig hun eigen malware kunnen samenstellen.

Fox-IT vermoedt dat de advertentiesoftware is gecompromitteerd. Advertentieplatform OpenX wordt vaker door cybercriminelen misbruikt om zich op deze manier toegang te verschaffen tot de advertenties die populaire websites laten zien. In dit nieuwste besmettingsgeval bij NU.nl gaat het om een malafide app die via een oude Java-versie de daadwerkelijke Zeus-Trojan, als versleuteld bestand, binnenhaalt op de Windows-pc van slachtoffers.

Enkele uren verspreid

Vorig jaar kreeg iemand al ongeautoriseerde toegang tot het CMS van NU.nl waardoor een stukje malafide Javascript aan banners kon worden toegevoegd. Net als toen is nieuwe malware verspreid die nog maar door 2 van de 47 scanners op Virustotal wordt herkend.

Fox-IT heeft enkele besmettingen geconstateerd bij zijn klanten. Bij de malware-actie vorig jaar werden in enkele uren tijd honderdduizenden bezoekers blootgesteld aan malware.

Update 17.33 uur: NU.nl bevestigt dat er malware is verspreid via de site. Woordvoerder Mariëlle Paul vertelt dat momenteel nog niet duidelijk is wat er precies met OpenX is gebeurd. Het voorval is ook gemeld bij cybercentrum NCSC.

Update 19:45: Verduidelijkt dat bezoekers van NU.nl niet zelf actie hoefden te ondernemen om besmet te raken. Klikken op de malafide ads was niet nodig om 'op' de landingspagina van de exploitkit terecht te komen. De besmettende ads werden zelf vanaf die pagina opgediend aan NU.nl-bezoekers.