Malware NRC.nl blijkt agressieve bankrover Sinowal

De malware die dinsdagochtend bezoekers van de twee NRC-nieuwssites heeft geteisterd blijkt een nieuwe variant van banking trojan Sinowal. Dit type malware richt zich op het stelen van bankgegevens.


Dat blijkt uit het eerste onderzoek van Mark Loman van SurfRight. Volgens hem gaat het om de zeer geavanceerde trojan Sinowal, die in zo kort mogelijke tijd een groot mogelijk aantal slachtoffers probeert te maken. De nieuwe variant van Sinowal die NRC.nl bevatte, maakt tevens onderdeel uit van de beruchte Blackhole exploit-kit 2.0 en wordt nog door vrijwel geen enkele virusscanner gedetecteerd.

Manipuleren van geldtransacties

"Slechts 4 van de 44 virusscanner op VirusTotal herkennen deze variant. Dat betekent dat de kans bijzonder groot is dat iedereen die de NRC-sites heeft bezocht voordat de advertenties zijn verwijderd, is besmet", aldus Loman, die bevestigt dat de malware in advertenties van derden zat verstopt en dus niet op de NRC-websites zelf.

Via de gewraakte advertentie wordt toegang gezocht via een externe malafide website. Deze maakt op zijn beurt weer contact met de exploit-kit. Vermoedelijk gaat het om een stukje Javascriptcode die de aangepaste versie van Sinowal-trojan probeerde te installeren.

De Sinowal rootkit infecteert de Master Boot Record en steelt vervolgens bankgegevens. Daarmee kunnen vervolgens geldtransacties via internetbankieren worden gemanipuleerd of gevoelige informatie zoals inlogs verzameld.

Trojan glipt door brakke plug-ins

Sinowal heeft het volgens Loman vooral gemunt op bedrijven. De trojan, die de laatste tijd veelvuldig opduikt, vindt zijn weg vaak via een gat in de plug-in van browsers. Loman: "Denk daarbij aan Java, Adobe Reader en Flash. Vaak zie je dat de computersystemen binnen bedrijven plug-ins zoals Java niet up-to-date hebben, wat de computers bijzonder kwetsbaar maakt."

Eerder dit jaar had Nu.nl last van banking trojan Sinowal. Ook bij die nieuwssite ging het om een ingang via een malafide advertentie. Het verschil met NRC Handelsblad is dat bij Nu.nl destijds onzorgvuldig met een inlog van het CMS werd omgesprongen, waardoor een aanvaller zelf toegang had tot de webserver en er zijn code plaatste.

Onderdeel advertentienetwerk

De kans is aanwezig dat dergelijke malware onderdeel uitmaakt van een advertentienetwerk. "Dat betekent dat een zeer groot aantal klanten van zo'n netwerk besmet is. Een erg lucratieve methode voor malwaremakers", legt security analist Sijmen Ruwhof van Secundity uit, die tevens wijst op het nut van ad-blockers.

Volgens Ruwhof zijn de diagnoses van Google doorgaans zeer betrouwbaar. Het probleem zit hem vaak in de communicatie naar de juiste personen achter een website. Ruwhof: "Toch lijkt me aannemelijk dat in het geval van de drukbezochte website NRC.nl een gat als dit niet dagenlang open blijft staan."