De DNS-serverhack die verkeer naar duizenden sites omleidde, heeft malware aangeboden via zo'n 18.000 IP-adressen. ISP's waar deze domeinen draaien, zijn ingelicht door het Nationaal Cyber Security Centrum (NCSC).

"We hebben een malware-sample ontvangen", vertelt NCSC-woordvoerster Mary-Jo van de Velde aan Webwereld. Zij zegt dat "18.000 IP-adressen mogelijk zijn blootgesteld aan malware". Dit betreft dus duizenden websites waarvan het verkeer is omgeleid naar malwareserverende sites. Het is nog onbekend hoeveel bezoekers van die legitieme sites via de omleiding naar malware zijn gevoerd.

De high-profile internetproviders  waar de meeste van de 18.000 IP-adressen toe behoren, zijn op de hoogte gesteld door het NCSC. Verder heeft het NCSC de politie en het SIDN ingelicht en met elkaar in contact gebracht. Zij onderzoeken de zaak nu verder.

Naast het Nederlandse domein van webwinkel Conrad is ook diens Belgische site geraakt door de malafide omleiding van verkeer. Die webwinkel is niet de enige die is geraakt door de sluwe omleiding waarbij legitieme domeinnamen ineens uitkwamen op IP-adressen die malware bezorgden.

Dit hebben de daders gedaan door externe nameservers toe te voegen aan de DNS-zone van hosters Digitalus, VDX en Webstekker. Bezoekers van gewone sites kregen hierdoor een blanco 'Under construction'-pagina te zien, maar die bevatte een iFrame waarlangs malware werd geserveerd.

Alles bij de bron; Webwereld