Vídeo: Yahoo is Serving up Viruses Malware Spyware!!! (Outubro 2024)
Milhares de usuários que visitaram o site do Yahoo na semana passada foram infectados com malware, descobriram os pesquisadores. O malware foi entregue por meio de s maliciosos que apareciam no site.
O Yahoo confirmou a infecção, mas disse que já foi removida. "No Yahoo, levamos a sério a segurança e a privacidade de nossos usuários. De 31 de dezembro a 3 de janeiro em nossos sites europeus, exibimos alguns s que não atendem às nossas diretrizes editoriais - especificamente, eles espalham malware. Em 3 de janeiro, nós removemos esses s de nossos sites europeus. Usuários na América do Norte, Ásia-Pacífico e América Latina não receberam esses s e não foram afetados. Além disso, usuários de Macs e dispositivos móveis não foram afetados ", afirmou a empresa em um email. Nota do editor: o Yahoo atualizou esta declaração na segunda-feira.
Os invasores inseriram anúncios maliciosos ou maliciosos nos servidores usados pelo ads.yahoo.com, escreveu a Fox-IT, empresa de segurança holandesa, em um post no blog no sábado. Esses anúncios redirecionaram os usuários para uma página que hospeda o kit de exploração "Magnitude", que tem como alvo várias vulnerabilidades Java. O kit de exploração instalou "uma série de malwares diferentes" em computadores vulneráveis, como o Trojan Zeus, Andromeda, Dorkbot / Ngrbot, malware de clique em anúncios, Tinba / Zusy e Necurs, informou a Fox-IT. Os pesquisadores acreditam que os servidores vêm exibindo anúncios maliciosos desde 30 de dezembro, mas não descartaram a possibilidade de os ataques ocorrerem ainda mais cedo.
A infecção também foi confirmada no Twitter por Mark Loman, analista de malware holandês com equipamento antivírus Surfright.
"Não está claro qual grupo específico está por trás desse ataque, mas os atacantes estão claramente motivados financeiramente", afirmou a Fox IT. Os invasores podem estar vendendo a capacidade de controlar essas máquinas infectadas para outros cibercriminosos, talvez como parte de uma rede de bots.
Ataque furtivo
Os malvertiserments são especialmente furtivos porque os usuários são infectados apenas carregando um site. Os usuários não precisam fazer nada - como clicar em um link - para serem infectados. Esses anúncios maliciosos foram exibidos em sites legítimos nos últimos anos. Em 2011, os usuários do Spotify foram atingidos por anúncios maliciosos veiculados por uma rede de publicidade de terceiros, assim como visitantes do site da Bolsa de Londres. De fato, os usuários têm 182 vezes mais chances de serem infectados com malware desses anúncios do que de sites de conteúdo adulto, segundo a Cisco em uma pesquisa do ano passado.
"Longe vão os dias em que você tinha que navegar em áreas sombrias da rede para encontrar algo malicioso", escreveu Graham Cluley, pesquisador de segurança.
Na sexta-feira, o malware estava sendo entregue a aproximadamente 300.000 usuários por hora, o que significa que cerca de 27.000 usuários por hora estavam realmente infectados, estimou a Fox-IT. Os países com maior número de usuários afetados foram Romênia, Reino Unido e França.
Enquanto o relatório da Fox-IT focava no Yahoo, Graham Cluley observou que os usuários que visitaram outros sites usando a rede de anúncios do Yahoo também podem ter sido afetados.
Servidor hackeado, anúncio complicado?
Não se sabe até o momento como os anúncios maliciosos chegaram à rede de anunciantes. Embora seja possível que os invasores tenham comprometido o servidor de anúncios a carregar os arquivos maliciosos, também é possível que os invasores tenham enviado o anúncio da maneira normal e enganado o Yahoo a pensar que era um anúncio comum. Isso não significa necessariamente que o Yahoo não estava fazendo seu trabalho - o anúncio enviado poderia ter sido inofensivo. Os invasores poderiam ter trocado o código após a aceitação do anúncio.
Como é difícil se defender de anúncios maliciosos, é ainda mais importante que os usuários executem softwares atualizados em seus computadores e mantenham seu software de segurança atualizado. O kit de exploração também foi direcionado para Java. Os usuários devem desinstalar o Java, desativá-lo totalmente no navegador ou tomar outras medidas para se protegerem de ataques contra o Java.
"Se você precisou de outro motivo para desativar o Java no navegador do seu computador, então está aí", disse Cluley.
