De website van de Telegraaf heeft vannacht en vanmorgen malware verspreid. Oorzaak is één van de adservers die corrupt blijkt te zijn. De eerste slachtoffers werden vannacht rond 02.30 uur gemaakt. Zij krijgen een nieuwe versleutelde variant van politievirus Ukash te zien. Het is nog niet duidelijk hoe lang bezoekers van de Telegraaf bloot hebben gestaan aan de malware.

De aanvalsserver verspreidt twee verschillende Java-exploits. Nadat de eerste exploit (CVE 2012-1723) is opgemerkt, werd vanmorgen 10.30 uur overgestapt op een nieuwe variant. Deze Java-exploit (CVE 2013-2423) dateert van april 2013 en profiteert van een lek in de verouderde Java-versie 7.

Adserver geblokkeerd

Het lijkt erop dat de Telegraaf de bewuste adserver inmiddels heeft geblokkeerd. Dat blijkt uit een tweet van Fox-IT'er Yonathan Klijnsma.

Volgens Mark Loman van beveiligingsbedrijf SurfRight maakt deze echter nog steeds zijn slachtoffers. “Deze adserver is actief op heel veel websites. Wij zien op dit moment nog steeds slachtoffers binnenkomen in onze databank. Dat zijn slachtoffers in onder meer Australië, Indonesië en Amerika.” Het gaat daarbij om honderden slachtoffers van beide exploit-varianten.

Loman wijst twee oorzaken van het verspreiden aan. “De advertentieprovider waar Telegraaf.nl gebruik van maakt heeft óf een slecht patchbeleid óf er zijn login credentials gestolen. Hierdoor hebben cybercriminelen toegang tot het advertentieplatform.”

Beleid aanpassen

Telegraaf.nl maakt gebruik van een advertentieplatform die advertenties van derden toestaat. Juist daar wringt de schoen, zegt de securityexpert. “Als ze dit eigen beleid niet aanpassen volgen er meer problemen in de toekomst.”

TMG heeft aangegeven snel met een reactie te komen op de situatie. Indien van toepassing krijgt dit artikel een update.