Video: Besmet of geïnfecteerd? (November 2024)
Duizenden gebruikers die de afgelopen week de website van Yahoo hebben bezocht, zijn besmet met malware, hebben onderzoekers ontdekt. De malware werd geleverd via kwaadaardige programma's die op de site verschenen.
Yahoo bevestigde de infectie, maar zei dat deze al is verwijderd. "Bij Yahoo nemen we de veiligheid en privacy van onze gebruikers serieus. Van 31 december tot 3 januari hebben we op onze Europese sites enkele geserveerd die niet aan onze redactionele richtlijnen voldeden - ze hebben met name malware verspreid. Op 3 januari hebben we verwijderden deze s van onze Europese sites. Gebruikers in Noord-Amerika, Azië Pacific en Latijns-Amerika kregen deze s niet te zien en werden niet getroffen. Bovendien werden gebruikers die Macs en mobiele apparaten gebruikten niet getroffen ", aldus het bedrijf in een e-mail. Noot van de redactie: Yahoo heeft deze verklaring maandag bijgewerkt.
Aanvallers hadden malvertisements of kwaadaardige programma's in de servers geplaatst die door ads.yahoo.com werden gebruikt, schreef Fox-IT, een Nederlands beveiligingsbedrijf, zaterdag in een blogpost. Deze advertenties hebben gebruikers omgeleid naar een pagina met de exploitatiekit "Magnitude", die verschillende Java-kwetsbaarheden aanpakt. De exploitkit installeerde "een groot aantal verschillende malware" op kwetsbare computers, zoals de Zeus Trojan, Andromeda, Dorkbot / Ngrbot, advertentie-klikkende malware, Tinba / Zusy en Necurs, zei Fox-IT. De onderzoekers geloven dat de servers sinds 30 december malvertisements vertonen, maar sluiten de mogelijkheid niet uit dat de aanvallen nog eerder plaatsvonden.
De infectie is ook op Twitter bevestigd door Mark Loman, een Nederlandse malware-analist bij antivirus-outfit Surfright.
"Het is onduidelijk welke specifieke groep achter deze aanval zit, maar de aanvallers zijn duidelijk financieel gemotiveerd, " zei Fox IT. De aanvallers verkopen misschien de mogelijkheid om deze geïnfecteerde machines te besturen aan andere cybercriminelen, misschien als onderdeel van een botnet.
Heimelijke aanval
Malvertiserments zijn vooral stiekem omdat gebruikers geïnfecteerd raken door alleen een website te laden. De gebruikers hoeven niets te doen - zoals klikken op een link - om geïnfecteerd te raken. Deze kwaadaardige advertenties zijn de afgelopen jaren op legitieme sites verschenen. In 2011 werden Spotify-gebruikers getroffen door kwaadaardige advertenties die werden weergegeven door een advertentienetwerk van derden, net als bezoekers van de website van de London Stock Exchange. Gebruikers zijn zelfs 182 keer vaker besmet met malware van deze advertenties dan met inhoud voor volwassenen, vond Cisco vorig jaar in een enquête.
"De dagen dat je door schaduwrijke delen van het net moest bladeren om iets kwaadaardigs te vinden, zijn al lang voorbij", schreef Graham Cluley, een beveiligingsonderzoeker.
Op vrijdag werd de malware geleverd aan ongeveer 300.000 gebruikers per uur, wat zou betekenen dat ongeveer 27.000 gebruikers per uur daadwerkelijk werden geïnfecteerd, schatte Fox-IT. De landen met het grootste aantal getroffen gebruikers waren Roemenië, het Verenigd Koninkrijk en Frankrijk.
Hoewel het Fox-IT-rapport was gericht op Yahoo, merkte Graham Cluley op dat gebruikers die andere sites hebben bezocht via het advertentienetwerk van Yahoo, mogelijk ook getroffen zijn.
Gehackte server, lastige advertentie?
Het is op dit moment niet bekend hoe de kwaadaardige advertenties het advertentienetwerk hebben bereikt. Hoewel het mogelijk is dat de aanvallers de advertentieserver hebben gecompromitteerd om de schadelijke bestanden te laden, is het ook mogelijk dat de aanvallers de advertentie op de normale manier hebben verzonden en Yahoo hebben laten misleiden door te denken dat het een gewone advertentie was. Dat betekent niet noodzakelijk dat Yahoo zijn werk niet deed - de ingediende advertentie had onschadelijk kunnen zijn. De aanvallers hadden de code kunnen omwisselen nadat de advertentie was geaccepteerd.
Aangezien malvertiseringen lastig te verdedigen zijn, is het nog belangrijker dat gebruikers bijgewerkte software op hun computer uitvoeren en hun beveiligingssoftware actueel houden. De exploitkit was ook gericht op Java. Gebruikers moeten Java verwijderen, volledig uitschakelen in de browser of andere stappen ondernemen om zichzelf te beschermen tegen aanvallen tegen Java.
"Als je nog een reden nodig hebt om Java uit te schakelen in de browser van je computer, dan heb je het, " zei Cluley.
