Infecţii informatice prin intermediul Yahoo.com

Articol postat de:

.

Primele zile ale anului 2014 au adus surprize neplăcute pentru un număr de utilizatori ai portalului Yahoo.com, în sensul că aceştia au devenit victimele unui atac informatic cu aplicaţii de tip malware de tip troian, injectate prin intermediul unor reclame afişate de portalul respectiv.

Conform celor relatate de compania Fox-IT în cadrul unui articol de pe blog.fox-it.com, preluat de către mai multe surse media, primele semne de infecţii au fost detectate de compania menţionată în data de 30 Decembrie 2013 şi se estimează că s-a ajuns la aproximativ 27.000 de infecţii pe ora.

Tot pe baza unor estimări realizate de compania Fox-IT prin studierea caracteristicilor unui eşantion de trafic, se pare că cele mai afectate state de acest atac sunt România (24%), Marea Britanie (23%) şi Franţa (20%).

  1. Mecanismul de infecţie

Vizitatorii portalului Yahoo.com au primit reclame prin intermediul subdomeniului ads.yahoo.com, iar unele dintre acestea au conţinut periculos, fiind utilizate pentru distribuirea de aplicaţii malware, fiind prezentate sub forma unor fişiere de tip iFrame (format video digital dezvoltat de Apple), găzduite de următoarele domenii din segmentul de reţea 192.133.137/24:

  • blistartoncom.org (192.133.137.59), înregistrat în 1 Ianuarie 2014;

  • slaptonitkons.net (192.133.137.100), înregistrat în 1 Ianuarie 2014;

  • original-filmsonline.com (192.133.137.63);

  • funnyboobsonline.org (192.133.137.247);

  • yagerass.org (192.133.137.56).

În momentul vizitării reclamelor respective, utilizatorii sunt redirecţionaţi (HTTP redirect) către un kit de exploatare găzduit de subdomenii aparent aleatoare ale unor domenii precum:

  • boxsdiscussing.net,

  • crisisreverse.net,

  • limitingbeyond.net,

iar toate aceste subdomenii care servesc kit-ul de exploatare sunt găzduite de o singură adresă IP din Olanda:193.169.245.78.

Odată descărcat, kit-ul exploatează vulnerabilităţii ale mediului Java şi instalează diferite tipuri de aplicaţii malware, cum ar fi:

  • ZeuS,

  • Andromeda,

  • Dorkbot/Ngrbot,

  • Advertisement clicking malware,

  • Tinba/Zusy,

  • Necurs.

  1. Măsuri de protecţie recomandate

Pentru administratorii de reţele: blocaţi sau monitorizaţi accesul către adresele IP şi domeniile menţionate mai sus ca fiind implicate în mecanismul infecţiei:

  • segmentul de reţea 192.133.137/24,

  • segmentul de reţea 193.169.245,

  • blistartoncom.org,

  • slaptonitkons.net,

  • original-filmsonline.com,

  • funnyboobsonline.org,

  • yagerass.org,

  • boxsdiscussing.net,

  • crisisreverse.net,

  • limitingbeyond.net.

Nu în ultimul rând, vă sfătuim să utilizaţi o soluţie antivirus pentru protecţia dispozitivului/PC-ul dumneavoastră şi chiar extensii de browser care permit blocarea reclamelor.

Resursele utilizate pentru realizarea atacului informatic descris (domenii, subdomenii, adrese IP, sisteme informatice) nu se află sub jurisdicţia statului român, sens în care CERT-RO nu poate dispune măsuri pentru verificarea în timp real a datelor publicate de firma FOX IT şi identificarea unor soluţii pentru o reacţie directă la acest tip de incident. De asemenea, majoritatea utilizatorilor serviciilor disponibile în cadrul portalului Yahoo.com sunt persoane fizice sau juridice de drept privat, fără ca CERT-RO să dispună de soluţii tehnice pentru identificarea automatizată a unor atacuri cibernetice la adresa sistemelor informatice utilizate pentru conectarea la serverele companiei menţionate.

În prezent, CERT-RO cooperează cu partenerii externi pentru a asigura reducerea riscurilor de securitate cibernetică generate de utilizatorii portalului Yahoo.com.

 Sursa:

http://blog.fox-it.com/2014/01/03/malicious-advertisements-served-via-yahoo/

 

Sursa foto: www.blog.fox-it.com
Sursa articolului: www.cert-ro.eu


Add Comment Register



Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *


*

Poți folosi aceste etichete HTML și atribute: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>