Video: Malvertising on Yahoo YieldManager, spreading ransomeware acting as Federal German Police (BKA) (Novembre 2024)
Migliaia di utenti che hanno visitato il sito Web di Yahoo la scorsa settimana sono stati infettati da malware, hanno scoperto i ricercatori. Il malware è stato consegnato tramite messaggi dannosi che sono apparsi sul sito.
Yahoo ha confermato l'infezione, ma ha detto che è già stata rimossa. "In Yahoo prendiamo sul serio la sicurezza e la privacy dei nostri utenti. Dal 31 dicembre al 3 gennaio sui nostri siti europei, abbiamo servito alcuni messaggi che non soddisfacevano le nostre linee guida redazionali - in particolare, diffondono malware. Il 3 gennaio abbiamo rimosso questi messaggi dai nostri siti europei. Agli utenti del Nord America, dell'Asia del Pacifico e dell'America Latina non sono stati offerti questi messaggi e non sono stati interessati. Inoltre, gli utenti che utilizzano Mac e dispositivi mobili non sono stati interessati ", ha dichiarato la società in un'e-mail. Nota del redattore: Yahoo ha aggiornato questa dichiarazione lunedì.
Gli aggressori hanno inserito malvertisements, o maliziosi, nei server utilizzati da ads.yahoo.com, Fox-IT, una società di sicurezza olandese, ha scritto sabato in un post sul blog. Questi annunci hanno reindirizzato gli utenti a una pagina che ospita il kit di exploit "Magnitude", destinato a varie vulnerabilità di Java. Il kit di exploit ha installato "una serie di malware diversi" su computer vulnerabili, come Zeus Trojan, Andromeda, Dorkbot / Ngrbot, malware che fa clic su annunci pubblicitari, Tinba / Zusy e Necurs, ha affermato Fox-IT. I ricercatori ritengono che i server mostrino malvertisements dal 30 dicembre, ma non hanno escluso la possibilità che gli attacchi si stessero verificando anche prima.
L'infezione è stata confermata anche su Twitter da Mark Loman, un analista di malware olandese con Surfright.
"Non è chiaro quale gruppo specifico sia alla base di questo attacco, ma gli aggressori sono chiaramente motivati finanziariamente", ha detto Fox IT. Gli aggressori potrebbero vendere la capacità di controllare queste macchine infette ad altri criminali informatici, forse come parte di una botnet.
Attacco furtivo
I malvertiserments sono particolarmente subdoli perché gli utenti vengono infettati semplicemente caricando un sito Web. Gli utenti non devono fare nulla, come fare clic su un collegamento, per essere infettati. Queste pubblicità dannose sono apparse su siti legittimi negli ultimi anni. Nel 2011, gli utenti di Spotify sono stati colpiti da annunci dannosi pubblicati da una rete pubblicitaria di terze parti, così come i visitatori del sito Web della Borsa di Londra. In effetti, agli utenti è 182 volte più piace essere infettati da malware da questi annunci rispetto ai siti di contenuti per adulti, Cisco ha scoperto in un sondaggio dell'anno scorso.
"Sono lontani i tempi in cui dovevi navigare in zone ombreggiate della rete per imbatterti in qualcosa di malvagio", ha scritto Graham Cluley, un ricercatore di sicurezza.
Venerdì, il malware veniva consegnato a circa 300.000 utenti all'ora, il che significa che circa 27.000 utenti all'ora erano effettivamente infetti, secondo Fox-IT. I paesi con il maggior numero di utenti interessati sono stati la Romania, il Regno Unito e la Francia.
Mentre il rapporto Fox-IT si concentrava su Yahoo, Graham Cluley ha osservato che anche gli utenti che hanno visitato altri siti utilizzando la rete pubblicitaria di Yahoo potrebbero essere stati colpiti.
Server compromesso, annuncio ingannevole?
A questo punto non è noto come gli annunci dannosi siano entrati nella rete pubblicitaria. Sebbene sia possibile che gli aggressori abbiano compromesso l'ad server per caricare i file dannosi, è anche possibile che gli aggressori abbiano inviato l'annuncio in modo normale e abbiano indotto Yahoo a pensare che fosse un normale annuncio. Ciò non significa necessariamente che Yahoo non stesse facendo il suo lavoro: l'annuncio inviato avrebbe potuto essere innocuo. Gli aggressori avrebbero potuto scambiarsi il codice dopo l'accettazione dell'annuncio.
Poiché i malvertimenti sono difficili da difendere, è ancora più importante che gli utenti eseguano software aggiornato sui loro computer e mantengano aggiornato il loro software di sicurezza. Il kit exploit ha preso di mira anche Java. Gli utenti devono disinstallare Java, disabilitarlo completamente nel browser o adottare altre misure per proteggersi dagli attacchi contro Java.
"Se avevi bisogno di un altro motivo per disabilitare Java nel browser del tuo computer, allora il gioco è fatto", ha detto Cluley.