Google Safe Search heeft de site vn.nl geblokkeerd na het aantreffen van driveby-malware. Deze schadelijke software wordt automatisch bij bezoekers geïnstalleerd, bijvoorbeeld via een exploit in een banner. De site zelf heeft geen malware gehost, wat aangeeft dat de malafide programmatuur via een platform van derden is geserveerd.

Domeinen hosten malware

Er wordt in de waarschuwing van Google verwezen naar twee domeinen die als host dienen voor de schadelijke software. De crawler van Google heeft 6 keer malware aangetroffen, maar het is momenteel niet bekend om welk virus het gaat.

De waarschuwing van Google meldt dat gisteren nog driveby-malware werd geïnstalleerd bij bezoekers. Vrij Nederland meldt aan Webwereld dat gisteren een gat in Wordpress is gedicht, dus dit zou er nog mee te maken kunnen hebben.

Eerder deze week besmette NRC.nl bezoekers met de malware Sinowal. De software werd toen waarschijnlijk gehost via een lek advertentieplatform waar de digitale versie van de krant gebruik van maakte.

Update 15.53 uur: Vrij Nederland-uitgever Weekbladpers Tijdschriften heeft de site uit de lucht getrokken. Browsers met Safe Search blokkeren de pagina nog steeds, andere browsers als Internet Explorer verwijzen inmiddels door naar de website van WPT waar een boodschap staat dat voor de veiligheid is besloten vn.nl en vn.nl/boeken offline te halen.

Op Twitter meldt Vrij Nederland nog niet te weten welke malware is gebruikt. Het weekblad linkt naar twee samenvattingen op virustotal die twee Java-trojans vermelden. De malwareverspreiders lijken gebruik te maken van onder meer een exploit waar Oracle in juni een patch voor heeft uitgegeven.

Ook de waarschuwingsdienst van cybercentrum NCSC meldt inmiddels dat Vrij Nederland enige tijd malware heeft verspreid. Volgens de dienst lopen bezoekers met verouderde plugins gevaar als ze gisteren of vandaag voor 13.00 uur de site hebben bezocht.