Vídeo: ищу пару ...🗿 (чит.опис) (Setembre 2024)
Els investigadors han trobat milers d'usuaris que van visitar el lloc web de Yahoo la setmana passada infectats amb programari maliciós. El programari maliciós es va distribuir a través de programes maliciosos que van aparèixer al lloc.
Yahoo va confirmar la infecció, però va dir que ja s'ha suprimit. "A Yahoo, ens prenem seriosament la seguretat i la privacitat dels nostres usuaris. Del 31 de desembre al 3 de gener als nostres llocs europeus, vam servir algunes que no complien les nostres directrius editorials, concretament, difonen programari maliciós. El 3 de gener, Va eliminar aquestes pàgines dels nostres llocs europeus. Els usuaris a Amèrica del Nord, Àsia Pacífic i Amèrica Llatina no van ser atesos i no es van veure afectats. Nota de l'editor: Yahoo va actualitzar aquesta declaració dilluns.
Els atacants havien inserit publicitats malicioses o maliciosos als servidors utilitzats per ads.yahoo.com, Fox-IT, una empresa de seguretat holandesa, va escriure en un post del blog dissabte. Aquests anuncis van redirigir els usuaris cap a una pàgina que allotja el kit d'explotació "Magnitude", que s'adreça a diverses vulnerabilitats de Java. El kit d'explotació va instal·lar "una gran quantitat de programari maliciós" en equips vulnerables, com ara Zeian Trojan, Andromeda, Dorkbot / Ngrbot, programari maliciós amb clic publicitari, Tinba / Zusy i Necurs, segons Fox-IT. Els investigadors creuen que els servidors estan mostrant publicitat comercial des del 30 de desembre, però no van descartar la possibilitat que els atacs es produïssin fins i tot abans.
Mark Loman, un analista de programari maliciós holandès amb antivirus Surfright, també ha confirmat la infecció a Twitter.
"No està clar quin grup específic hi ha darrere d'aquest atac, però els atacants són clarament motivats financerament", va dir Fox IT. És possible que els atacants estiguin venent la possibilitat de controlar aquestes màquines infectades a altres ciberdelinqüents, potser com a part d'una botnet.
Atac furtiu
Els anuncis malintencionats són especialment esperpèntics perquè els usuaris s’infecten només carregant un lloc web. Els usuaris no necessiten fer res, com ara fer clic en un enllaç, per infectar-se. Aquests anuncis maliciosos han aparegut a llocs legítims durant els darrers anys. El 2011, els usuaris de Spotify van ser afectats per anuncis maliciosos publicats per una xarxa d’anuncis de tercers, així com els visitants del lloc web de la Borsa de Londres. De fet, els usuaris tenen 182 vegades més ganes d’estar infectats amb programari maliciós d’aquests anuncis que de llocs de contingut per a adults, va trobar Cisco en una enquesta l’any passat.
"Fa temps que han passat a navegar per zones ombrívoles de la xarxa per topar amb alguna cosa maliciosa", va escriure Graham Cluley, investigador de seguretat.
Divendres, el programari maliciós es lliurava a aproximadament 300.000 usuaris per hora, cosa que suposaria que uns 27.000 usuaris per hora estaven infectats, segons calcula Fox-IT. Els països amb més nombre d'usuaris afectats van ser Romania, el Regne Unit i França.
Mentre que l’informe Fox-IT es va centrar en Yahoo, Graham Cluley va assenyalar que els usuaris que van visitar altres llocs que utilitzen la xarxa d’anuncis de Yahoo també podrien haver estat afectats.
Servidor piratejat, anunci complicat?
En aquest moment no se sap com els anuncis maliciosos van arribar a la xarxa d’anuncis. Si bé és possible que els atacants puguin haver compromès el servidor d’anuncis per carregar els fitxers maliciosos, també és possible que els atacants hagin presentat l’anunci de la manera normal i que hagin enganyat a Yahoo a pensar que es tractava d’un anunci normal. Això no vol dir necessàriament que Yahoo no desenvolupés la seva feina; l’anunci enviat podria haver estat inofensiu. Els atacants podrien haver canviat el codi després que l’anunci fos acceptat.
Com que els anuncis publicitaris són difícils de defensar, és encara més important que els usuaris utilitzin programari actualitzat als seus ordinadors i mantinguin el programari de seguretat actual. El kit d'explotació també tenia com a objectiu Java. Els usuaris han de desinstal·lar Java, desactivar-lo completament al navegador o fer altres mesures per protegir-se dels atacs contra Java.
"Si necessiteu un altre motiu per desactivar Java al navegador de l'ordinador, allí el teniu", va dir Cluley.
