Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Serwery reklamowe Yahoo niebezpieczne dla internautów z Europy
3. stycznia 2014 roku holenderska firma z branży IT security Fox-IT poinformowała na swoim blogu o dokonanym odkryciu. Według Fox-IT, serwer reklamowy Yahoo!, znajdujący się w domenie ads.yahoo.com (serwer jest odpowiedzialny za wyświetlanie reklam na stronach portalu), uległ atakowi, w wyniku którego od 30. grudnia 2013 roku część z reklam odpowiedzialna była za ataki typu drive-by download.
Jak można dowiedzieć się z opublikowanej informacji, złośliwe reklamy osadzone w postaci ramek (iframes) przez treść serwowaną z kilku domen zarejestrowanych w podsieci IP o adresacji rozpoczynającej się od 192.133.137 przekierowywały odwiedzającego na kilka subdomen zarejestrowanych w Holandii (IP: 193.169.245.78). Tam z kolei dochodziło do próby zarażenia odwiedzającego exploit kitem „Magnitude”.
Magnitude wykorzystuje luki w oprogramowaniu Java na komputerze ofiary. Proces zarażania się prezentuje poniższy schemat:
W przypadku pomyślnego ataku może dojść do zarażenia się takim malware jak: ZeuS, Andromeda, Dorkbot/Ngrbot, Tinba/Zusy czy Necurs.
Najistotniejszą informacją w kontekście tego ataku jest jednak fakt, że zakażane były komputery, których adresy IP pochodziły jedynie z Europy. Według symulowanych obliczeń Fox-IT, najbardziej narażone były komputery z Rumunii, Wielkiej Brytanii i Francji (po około 20% zarażonych adresów IP). Pozostałe zagrożone kraje to m.in. Włochy, Hiszpania, Niemcy, Turcja czy Grecja. Raport nie wskazuje jednoznacznie na Polskę (wynika to zapewne częśćiowo z niskiej popularności Yahoo! w naszym kraju, które ostatnio zakończyło swoją przygodę z polską siecią).
5. stycznia Yahoo! wydało oświadczenie, które potwierdza analizę Fox-IT (m.in. fakt, że odwiedzający spoza Europy, a także korzystający z urządzeń mobilnych bądź komputerów z systemem Mac OSX nie byli zagrożeni).
Dość dokładną analizę całego zdarzenia można znaleźć we wpisie Malware served via Yahoo affected millions.
Więcej o atakach drive-by download:
- Ataki drive-by download – Sieć w oblężeniu | Kaspersky Lab (PL)
- Drive-by Downloads. The Web Under Siege | Kaspersky Lab (EN)
- What is a “Drive-By” Download? | McAfee
Magnitude explot kit:
źródła:
- Malicious advertisements served via Yahoo | Fox IT
- Yahoo “Malvertisements” Infect 1000s of Users | Emisoft
- Yahoo users exposed to malware attack | CNet
- Thousands of visitors to yahoo.com hit with malware attack, researchers say | Washington Post
— bl4de
Ze swojej strony dorzuce https://www.owasp.org/index.php/Poland i wyszukanie po „drive-by” oraz „malicious”.