Video: Google Redirecting to Yahoo Mac Virus Removal (Noiembrie 2024)
Cercetătorii au descoperit că mii de utilizatori care au vizitat site-ul web Yahoo în săptămâna trecută au fost infectați cu malware. Programul malware a fost livrat prin intermediul unor programe malware care au apărut pe site.
Yahoo a confirmat infecția, dar a spus că a fost deja eliminată. "La Yahoo, luăm în serios siguranța și confidențialitatea utilizatorilor noștri. Din 31 decembrie până pe 3 ianuarie pe site-urile noastre europene, am servit unele s, care nu corespund orientărilor noastre editoriale - în mod special, acestea răspândesc malware. Pe 3 ianuarie, noi a eliminat aceste site-uri de pe site-urile noastre europene. Utilizatorii din America de Nord, Asia Pacific și America Latină nu au fost deserviți și nu au fost afectați. În plus, utilizatorii care folosesc Mac-uri și dispozitive mobile nu au fost afectați ", a declarat compania într-un e-mail. Nota editorului: Yahoo a actualizat luni această declarație.
Atacatorii au introdus publicități maligne sau saliști în serverele folosite de ads.yahoo.com, Fox-IT, o firmă de securitate olandeză, a scris sâmbătă într-un blog. Aceste anunțuri au redirecționat utilizatorii către o pagină care găzduiește kitul de exploatare „Magnitude”, care vizează diverse vulnerabilități Java. Kit-ul exploit a instalat „o serie de malware diferite” pe computere vulnerabile, cum ar fi troianul Zeus, Andromeda, Dorkbot / Ngrbot, malware-ul cu clic pe anunțuri, Tinba / Zusy și Necurs, a spus Fox-IT. Cercetătorii consideră că serverele prezintă afișări de publicitate începând cu 30 decembrie, dar nu au exclus faptul că atacurile au avut loc chiar mai devreme.
Infecția a fost confirmată și pe Twitter de Mark Loman, un analist malware olandez cu echipament antivirus Surfright.
"Nu este clar ce grup specific se află în spatele acestui atac, dar atacatorii sunt clar motivați financiar", a spus Fox IT. Atacatorii ar putea vinde capacitatea de a controla aceste mașini infectate altor cibernetici, poate ca parte a unei botnet-uri.
Atac furtunos
Anunțurile publicitare sunt în mod deosebit, deoarece utilizatorii se infectează doar încărcând un site web. Utilizatorii nu trebuie să facă nimic - cum ar fi clic pe un link - pentru a se infecta. Aceste reclame rău intenționate au apărut pe site-uri legitime în ultimii ani. În 2011, utilizatorii Spotify au fost afectați de anunțuri rău intenționate difuzate de o rețea publicitară terță parte, la fel și vizitatorii site-ului web al Bursei de Valori din Londra. De fapt, utilizatorii sunt de 182 ori mai mulți ca să fie infectați cu malware din aceste reclame decât sunt de pe site-urile de conținut pentru adulți, Cisco a găsit într-un sondaj anul trecut.
„De mult au plecat zilele în care trebuia să răsfoiești zone umbroase ale plasei pentru a te poticni cu ceva rău”, a scris Graham Cluley, un cercetător de securitate.
Vineri, malware-ul a fost livrat la aproximativ 300.000 de utilizatori pe oră, ceea ce ar însemna că aproximativ 27.000 de utilizatori pe oră erau de fapt infectați, a estimat Fox-IT. Țările cu cel mai mare număr de utilizatori afectați au fost România, Regatul Unit și Franța.
În timp ce raportul Fox-IT s-a concentrat pe Yahoo, Graham Cluley a menționat că este posibil ca utilizatorii care au vizitat alte site-uri care utilizează rețeaua publicitară Yahoo să fie afectate.
Serverul hacked, anunțul complicat?
La acest moment nu se cunoaște modul în care anunțurile rău intenționate au ajuns în rețeaua publicitară. Deși este posibil ca atacatorii să fi compromis serverul de anunțuri să încarce fișierele rău intenționate, este posibil, de asemenea, că atacatorii au trimis anunțul în mod normal și au păcălit Yahoo să creadă că este un anunț obișnuit. Asta nu înseamnă neapărat că Yahoo nu își făcea treaba - anunțul trimis ar fi putut fi inofensiv. Atacatorii ar fi putut schimba codul după ce anunțul a fost acceptat.
Având în vedere că mesajele publicitare sunt dificil de apărat, este și mai important ca utilizatorii să ruleze software actualizat pe computerele lor și să își păstreze software-ul de securitate la zi. Kit-ul exploit a vizat și Java. Utilizatorii trebuie fie să dezinstaleze Java, să-l dezactiveze în întregime în browser, fie să ia alte măsuri pentru a se proteja de atacurile împotriva Java.
"Dacă ai nevoie de un alt motiv pentru a dezactiva Java în browserul computerului, atunci îl ai", a spus Cluley.