Video: Фильм 14+ «История первой любви» Смотреть в HD (Oktober 2024)
Tusenvis av brukere som besøkte Yahoos nettsted den siste uken ble smittet med skadelig programvare, har forskere funnet. Den skadelige programvaren ble levert via ondsinnede som dukket opp på nettstedet.
Yahoo bekreftet infeksjonen, men sa at den allerede er fjernet. "Hos Yahoo tar vi sikkerheten og personvernet til brukerne våre på alvor. Fra 31. desember til 3. januar på våre europeiske nettsteder serverte vi noen s som ikke oppfyller våre redaksjonelle retningslinjer - spesielt spredte de skadelig programvare. 3. januar sendte vi fjernet disse fra våre europeiske nettsteder. Brukere i Nord-Amerika, Asia og Stillehavs-Amerika fikk ikke servert disse og ble ikke berørt. I tillegg ble brukere som bruker Mac-er og mobile enheter ikke berørt, "sa selskapet i en e-post. Redaktørens merknad: Yahoo oppdaterte denne uttalelsen på mandag.
Angripere hadde satt inn malvertisementer, eller ondsinnet s, i serverne som ble brukt av ads.yahoo.com, skrev Fox-IT, et nederlandsk sikkerhetsfirma, i et blogginnlegg lørdag. Disse annonsene omdirigerte brukere til en side som er vert for utvidelsessettet "Magnitude", som er rettet mot forskjellige Java-sårbarheter. Utnyttelsessettet installerte "en rekke forskjellige skadelige programvarer" på sårbare datamaskiner, som Zeus Trojan, Andromeda, Dorkbot / Ngrbot, ad-click malware, Tinba / Zusy og Necurs, sa Fox-IT. Forskerne mener serverne har vist undervert siden 30. desember, men utelukket ikke muligheten for at angrepene skjedde enda tidligere.
Smitten er også bekreftet på Twitter av Mark Loman, en nederlandsk malware-analytiker med antivirusantrekk Surfright.
"Det er uklart hvilken spesifikk gruppe som står bak dette angrepet, men angriperne er tydelig økonomisk motivert, " sa Fox IT. Angriperne kan selge evnen til å kontrollere disse infiserte maskinene til andre nettkriminelle, kanskje som en del av et botnett.
Stealthy Attack
Malvertisermenter er spesielt lure fordi brukere blir smittet bare ved å laste inn et nettsted. Brukerne trenger ikke å gjøre noe - for eksempel å klikke på en kobling - for å bli smittet. Disse ondsinnede annonsene har dukket opp på legitime nettsteder de siste årene. I 2011 ble Spotify-brukere rammet av ondsinnede annonser som ble servert av et tredjeparts annonsenettverk, i tillegg til besøkende på London Stock Exchange's nettsted. Faktisk er brukere 182 ganger mer som å bli smittet med skadelig programvare fra disse annonsene enn fra innholdsnettsteder for voksne, oppdaget Cisco i en undersøkelse i fjor.
"Lenge borte er de dagene du måtte surfe på skyggefulle områder av nettet for å snuble over noe ondsinnet, " skrev Graham Cluley, en sikkerhetsforsker.
Fredag ble skadelig programvare levert til omtrent 300 000 brukere i timen, noe som vil bety at omtrent 27 000 brukere i timen faktisk ble smittet, anslår Fox-IT. Landene med flest antall berørte brukere var Romania, Storbritannia og Frankrike.
Mens Fox-IT-rapporten fokuserte på Yahoo, bemerket Graham Cluley at brukere som besøkte andre nettsteder som bruker Yahoos annonsenettverk, også kan ha blitt påvirket.
Hacket server, vanskelig annonse?
Det er ikke kjent på dette tidspunktet hvordan skadelige annonser gjorde det til annonsenettverket. Selv om det er mulig at angriperne kan ha kompromittert annonseserveren for å laste inn skadelige filer, er det også mulig at angriperne sendte inn annonsen på vanlig måte og lurte Yahoo til å tro at det var en vanlig annonse. Det betyr ikke nødvendigvis at Yahoo ikke gjorde jobben sin - den innsendte annonsen kunne ha vært ufarlig. Angriperne kunne ha byttet rundt koden etter at annonsen ble akseptert.
Siden malvertiseringer er vanskelig å forsvare seg mot, er det enda viktigere at brukere kjører oppdatert programvare på datamaskinene sine og holder sikkerhetsprogramvaren sin oppdatert. Utnyttelsessettet målrettet også Java. Brukere bør enten avinstallere Java, deaktivere det helt i nettleseren, eller ta andre skritt for å beskytte seg mot angrep mot Java.
"Hvis du trengte en annen grunn til å deaktivere Java i datamaskinens nettleser, så har du det, " sa Cluley.
