Yahoo šířilo nebezpečnou nákazu. A ve velkém

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: Batou
Datum: 6.1.2014
Hodnocení/Hlasovalo: 1/2

Yahoo.com obsahovalo malware ve svých reklamách. Motivací byly samozřejmě peníze. Tipnete si průměrný traffic na Yahoo za hodinu?

Společnost Fox-IT upozornila na svém blogu na skutečnost, že její monitorovací systémy zjistily šíření infekce ze serveru ads.yahoo.com.

Klientům, kteří navštíví Yahoo, je z této adresy servírována reklama. Některé z nich však ještě před 3 dny obsahovaly škodlivý kód, konkrétně iframy z těchto adres:

Po navštívení zmíněných adres byl klient přesměrován na jeden z dalších připravených webů, kde na něj čekal Magnitude Exploit kit. Ten je také nazýván Popads a úspěšně nahrazuje Blackhole Exploit kit, jehož autor byl v říjnu zadržen a jeho sláva (a použitelnost) tak upadá. Všechny tyto domény byly řízeny z jediné IP adresy (193.169.245.78), jenž je situována v Holandsku. Prohlédněte si schéma celého procesu nákazy:

Následně, především díky exploitaci Javy, byly klientům instalovány trojské koně a další havěť. Z nejznámějších jmenujme:

První injekce byly zaznamenány 30. prosince, některé indicie naznačují i dřívější start. Při uvažování běžného provozu na Yahoo odborníci odhadli návštěvnost napadených reklam tempem 300 000/hodinu. Ze statistik vyplývá, že 9 % z těchto návštěv je pro útočníky úspěšných - reálně tedy mohlo být nakaženo kolem 27 000 klientů za hodinu. Zatím není známo, kdo za útoky stojí.

Doporučení od Fox-IT zní: blokujte adresy 192.133.137/24 a 193.169.245/24 a důsledně monitorujte síť hledaje známky po úspěšné exploitaci.