Video: Kalakaveri | K-Citymarket | Täyden kympin kalat (Lokakuu 2024)
Tutkijat ovat löytäneet tuhansia Yahoon verkkosivustolla viime viikolla käyneitä käyttäjiä saaneet haittaohjelmia. Haittaohjelmat toimitettiin sivustolla esiintyvien haittaohjelmien kautta.
Yahoo vahvisti tartunnan, mutta sanoi, että se on jo poistettu. "Otamme Yahoo: lla käyttäjien turvallisuuden ja yksityisyyden vakavasti. 31. joulukuuta - 3. tammikuuta palvelemme eurooppalaisilla sivustoillamme joitain, jotka eivät vastanneet toimituksellisia sääntöjämme - erityisesti, että ne leviävät haittaohjelmia. 3. tammikuuta poisti nämä eurooppalaisilta sivustoiltamme. Pohjois-Amerikan, Aasian ja Tyynenmeren alueen ja Latinalaisen Amerikan käyttäjille ei annettu näitä palveluja, eikä heille aiheutunut muutosta. Lisäksi vaikutusta ei ollut Macien ja mobiililaitteiden käyttäjiin ", yritys ilmoitti sähköpostissa. Toimittajan huomautus: Yahoo päivitti lausunnon maanantaina.
Hyökkääjät olivat lisänneet väärinkäytöksiä tai haittaohjelmia ads.yahoo.com: n käyttämiin palvelimiin, hollantilainen turvallisuusyritys Fox-IT kirjoitti blogipäivänä lauantaina. Nämä mainokset ohjasivat käyttäjät sivulle, jolla ylläpidetään "Magnitude" -hyökkäyspakettia, joka kohdistuu erilaisiin Java-haavoittuvuuksiin. Hyökkäyspaketti asensi "joukon erilaisia haittaohjelmia" haavoittuviin tietokoneisiin, kuten Zeus Trojan, Andromeda, Dorkbot / Ngrbot, mainosten napsauttamiseen tarkoitetut haittaohjelmat, Tinba / Zusy ja Necurs, Fox-IT sanoi. Tutkijoiden mielestä palvelimet ovat osoittaneet väärinkäytöksiä 30. joulukuuta lähtien, mutta eivät sulkeneet pois mahdollisuutta, että hyökkäykset tapahtuivat jo aiemmin.
Tartunnan on vahvistanut Twitterissä myös virolaisen virustorjuntayhtiö Surfrightin hollantilainen haittaohjelman analyytikko Mark Loman.
"On epäselvää, mikä ryhmä on tämän hyökkäyksen takana, mutta hyökkääjät ovat selvästi taloudellisesti motivoituneita", Fox IT sanoi. Hyökkääjät saattavat myydä kykyä hallita näitä tartunnan saaneita koneita muille verkkorikollisille, ehkä osana bottiverkkoa.
Varhainen hyökkäys
Väärinkäytöt ovat erityisen hankalia, koska käyttäjät tarttuvat vain lataamalla verkkosivuston. Käyttäjien ei tarvitse tehdä mitään - esimerkiksi napsauttaa linkkiä - saadakseen tartunnan. Nämä haitalliset mainokset ovat avanneet laillisilla sivustoilla viime vuosina. Vuonna 2011 Spotify-käyttäjiä kärsi kolmansien osapuolien mainosverkoston tarjoamia haitallisia mainoksia, samoin kuin Lontoon pörssin verkkosivuston kävijöitä. Itse asiassa käyttäjät ovat 182 kertaa enemmän tartunnan saaneita näistä mainoksista peräisin olevilla haittaohjelmilla kuin aikuisten sisältösivustoilla, Cisco totesi viime vuonna tehdyssä tutkimuksessa.
"Kauan poissa ovat päivät, jolloin jouduit selaamaan verkon varjoisia alueita kompastuaksesi jotain haitallista", kirjoitti turvallisuustutkija Graham Cluley.
Perjantaina haittaohjelmat toimitettiin noin 300 000 käyttäjälle tunnissa, mikä tarkoittaa, että noin 27 000 käyttäjää tunnissa oli todella saanut tartunnan, Fox-IT arvioi. Maat, joissa käyttäjiä oli eniten, olivat Romania, Yhdistynyt kuningaskunta ja Ranska.
Fox-IT-raportissa keskityttiin Yahooon, mutta Graham Cluley totesi, että myös käyttäjille, jotka vierailivat muilla sivustoilla Yahoon mainosverkoston kautta, on vaikuttanut myös asiaan.
Hakkeroitu palvelin, hankala mainos?
Tässä vaiheessa ei ole tiedossa, kuinka haitalliset mainokset päätyivät sen mainosverkostoon. Vaikka on mahdollista, että hyökkääjät ovat saattaneet vaarantaa mainospalvelimen ladata haitalliset tiedostot, hyökkääjät ovat myös voineet lähettää mainoksen normaalilla tavalla ja huijasivat Yahoota ajattelemaan, että se on tavallinen mainos. Tämä ei välttämättä tarkoita, että Yahoo ei toiminut työssään - lähetetty mainos olisi voinut olla vaaraton. Hyökkääjät olisivat voineet vaihtaa koodin ympäri, kun mainos oli hyväksytty.
Koska väärinkäytöksiä on vaikea puolustaa, on vielä tärkeämpää, että käyttäjät ajavat päivitettyjä ohjelmistoja tietokoneillaan ja pitävät tietoturvaohjelmistonsa ajan tasalla. Hyödyntämispakkaus kohdistui myös Javaan. Käyttäjien tulee joko poistaa Java, poistaa se kokonaan käytöstä selaimessa tai ryhtyä muihin toimenpiteisiin suojautuakseen Java-hyökkäyksiltä.
"Jos tarvitsit toista syytä poistaa Java käytöstä tietokoneesi selaimessa, niin se on siellä", Cluley sanoi.
