Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Serwery reklamowe Yahoo niebezpieczne dla internautów z Europy

07 stycznia 2014, 13:02 | Aktualności | 1 komentarz

3. stycznia 2014 roku holenderska firma z branży IT security Fox-IT poinformowała na swoim blogu o dokonanym odkryciu. Według Fox-IT, serwer reklamowy Yahoo!, znajdujący się w domenie ads.yahoo.com (serwer jest odpowiedzialny za wyświetlanie reklam na stronach portalu), uległ atakowi, w wyniku którego od 30. grudnia 2013 roku część z reklam odpowiedzialna była za ataki typu drive-by download.

Jak można dowiedzieć się z opublikowanej informacji, złośliwe reklamy osadzone w postaci ramek (iframes) przez treść serwowaną z kilku domen zarejestrowanych w podsieci IP o adresacji rozpoczynającej się od 192.133.137 przekierowywały odwiedzającego na kilka subdomen zarejestrowanych w Holandii (IP: 193.169.245.78). Tam z kolei dochodziło do próby zarażenia odwiedzającego exploit kitem „Magnitude”.

Magnitude wykorzystuje luki w oprogramowaniu Java na komputerze ofiary. Proces zarażania się prezentuje poniższy schemat:

W przypadku pomyślnego ataku może dojść do zarażenia się takim malware jak: ZeuS, Andromeda, Dorkbot/Ngrbot, Tinba/Zusy czy Necurs.

Najistotniejszą informacją w kontekście tego ataku jest jednak fakt, że zakażane były komputery, których adresy IP pochodziły jedynie z Europy. Według symulowanych obliczeń Fox-IT, najbardziej narażone były komputery z Rumunii, Wielkiej Brytanii i Francji (po około 20% zarażonych adresów IP). Pozostałe zagrożone kraje to m.in. Włochy, Hiszpania, Niemcy, Turcja czy Grecja. Raport nie wskazuje jednoznacznie na Polskę (wynika to zapewne częśćiowo z niskiej popularności Yahoo! w naszym kraju, które ostatnio zakończyło swoją przygodę z polską siecią).

5. stycznia Yahoo! wydało oświadczenie, które potwierdza analizę Fox-IT (m.in. fakt, że odwiedzający spoza Europy, a także korzystający z urządzeń mobilnych bądź komputerów z systemem Mac OSX nie byli zagrożeni).

Dość dokładną analizę całego zdarzenia można znaleźć we wpisie Malware served via Yahoo affected millions.

Więcej o atakach drive-by download:

Magnitude explot kit:

źródła:

bl4de

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Jachowicz fan boy
    Odpowiedz

Odpowiedz