Видео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) (Октября 2024)
Исследователи обнаружили, что тысячи пользователей, посетивших веб-сайт Yahoo за последнюю неделю, были заражены вредоносным ПО. Вредонос был доставлен через вредоносные программы, которые появились на сайте.
Yahoo подтвердил заражение, но сказал, что он уже удален. «В Yahoo мы серьезно относимся к безопасности и конфиденциальности наших пользователей. С 31 декабря по 3 января на наших европейских сайтах мы обслуживали тех, кто не соответствовал нашим редакционным правилам - в частности, они распространяли вредоносное ПО. 3 января мы удалили их с наших европейских сайтов. Пользователи в Северной Америке, Азиатско-Тихоокеанском регионе и Латинской Америке не обслуживались и не пострадали. Кроме того, пользователи, использующие компьютеры Mac и мобильные устройства, не пострадали », - говорится в сообщении компании. Примечание редактора: Yahoo обновила это заявление в понедельник.
Злоумышленники вставили вредоносные объявления или вредоносные файлы на серверы, используемые рекламной фирмой ads.yahoo.com, голландской фирмой по безопасности Fox-IT, в субботу в своем блоге. Эти объявления перенаправили пользователей на страницу, на которой размещен набор эксплойтов «Величина», предназначенный для различных уязвимостей Java. Набор для эксплойтов установил «множество различных вредоносных программ» на уязвимых компьютерах, таких как троян Zeus, Andromeda, Dorkbot / Ngrbot, вредоносное ПО для рекламы, Tinba / Zusy и Necurs, сообщает Fox-IT. Исследователи полагают, что с 30 декабря серверы демонстрируют вредоносную рекламу, но не исключают, что атаки происходили еще раньше.
Инфекция также была подтверждена в Твиттере Марком Ломаном, голландским аналитиком вредоносного ПО с антивирусным оборудованием Surfright.
«Неясно, какая конкретная группа стоит за этой атакой, но злоумышленники явно мотивированы в финансовом отношении», - сказал Fox IT. Злоумышленники могут продавать возможность управления этими зараженными машинами другим киберпреступникам, возможно, как часть ботнета.
Скрытная атака
Malvertiserments особенно подлый, потому что пользователи заражаются только при загрузке веб-сайта. Пользователям не нужно ничего делать - например, нажимать на ссылку - чтобы заразиться. За последние несколько лет эти вредоносные объявления появлялись на законных сайтах. В 2011 году пользователи Spotify пострадали от вредоносной рекламы, обслуживаемой сторонней рекламной сетью, а также от посетителей сайта Лондонской фондовой биржи. На самом деле, пользователи в 182 раза больше подвержены заражению вредоносными программами от этих объявлений, чем от сайтов с контентом для взрослых, как выяснил Cisco в прошлом году.
«Давно прошли те времена, когда вам приходилось просматривать тенистые участки сети, чтобы наткнуться на что-то вредоносное», - пишет Грэм Клули, исследователь безопасности.
В пятницу вредоносное ПО доставлялось примерно 300 000 пользователей в час, что означает, что около 27 000 пользователей в час фактически заражаются, по оценкам Fox-IT. Странами с наибольшим количеством пострадавших пользователей были Румыния, Великобритания и Франция.
В то время как отчет Fox-IT был сфокусирован на Yahoo, Грэм Клули отметил, что это также может повлиять на пользователей, которые посещали другие сайты с помощью рекламной сети Yahoo.
Взломанный сервер, хитрая реклама?
На данный момент неизвестно, как вредоносная реклама попала в рекламную сеть. Несмотря на то, что злоумышленники могли скомпрометировать рекламный сервер для загрузки вредоносных файлов, также возможно, что злоумышленники подали объявление обычным способом и обманули Yahoo, заставив его думать, что это обычное объявление. Это не обязательно означает, что Yahoo не выполняет свою работу - представленное объявление могло быть безвредным. После принятия объявления злоумышленники могли поменять код.
Поскольку от вредоносных программ сложно защититься, еще более важно, чтобы пользователи запускали обновленное программное обеспечение на своих компьютерах и постоянно обновляли программное обеспечение безопасности. Набор эксплойтов также предназначался для Java. Пользователи должны либо деинсталлировать Java, либо полностью отключить ее в браузере, либо принять другие меры для защиты от атак на Java.
«Если вам нужна была еще одна причина для отключения Java в браузере вашего компьютера, тогда она у вас есть», - сказал Клули.
