Email atac exploatează vulnerabilitatea în site-ul Yahoo pentru a deturna conturile

Hackerii din spatele unei campanii de atac de e-mail recent detectate exploatează o vulnerabilitate pe un site web Yahoo pentru a deturna conturile de e-mail ale utilizatorilor Yahoo folosiți-le pentru spam, potrivit cercetătorilor de securitate de la Bitdefender.

Atacul începe cu faptul că utilizatorii primesc un e-mail spam cu numele lor în linia de subiect și un scurt mesaj "check out this page" urmat de un bit.ly scurtat legătură. Clicând pe link, utilizatorii se adresează unui site web care se comportă ca site de știri MSNBC care conține un articol despre cum să câștigi bani în timp ce lucrezi acasă, au declarat cercetătorii de la Bitdefender miercuri într-un post pe blog.

La prima vedere, de la alte site-uri înșelătoare de la locul de muncă. Cu toate acestea, în fundal, o bucată de cod JavaScript exploatează o vulnerabilitate de scripting încrucișată (XSS) în site-ul blogului Yahoo Developer Network (YDN) pentru a fura cookie-ul de sesiune al vizitatorilor Yahoo.

eliminați malware-ul de pe PC-ul dvs. Windows

Cum funcționează

Cookie-urile pentru sesiuni sunt șiruri unice de text stocate de site-urile web din browsere, pentru a vă aminti utilizatorii conectați până când se deconectează. Browserele web folosesc un mecanism de securitate numit politica de același tip pentru a împiedica accesarea site-urilor deschise în diferite file de resursele reciproce, cum ar fi cookie-urile de sesiune.

Politica de același tip este, de obicei, aplicată pe fiecare domeniu. De exemplu, google.com nu poate accesa cookie-urile de sesiune pentru yahoo.com, chiar dacă utilizatorul ar putea fi conectat simultan la ambele site-uri web în același browser. Cu toate acestea, în funcție de setările cookie-urilor, subdomeniile pot accesa modulele cookie de sesiune stabilite de domeniile lor părinte.

Acest lucru pare să fie cazul în cazul în care utilizatorul rămâne conectat, indiferent de subdomeniul Yahoo pe care îl vizitează, inclusiv developer.yahoo. com.

Codul JavaScript necinstit încărcat de pe site-ul fals de la MSNBC obligă browserul vizitatorului să apeleze developer.yahoo.com cu o adresă URL special creată care exploatează vulnerabilitatea XSS și execută cod JavaScript suplimentar în contextul dezvoltatorului.yahoo. com subdomeniu.

Acest cod JavaScript suplimentar citește cookie-ul de sesiune al utilizatorului Yahoo și îl încarcă pe un site controlat de atacatori. Cookie-ul este apoi utilizat pentru a accesa contul de e-mail al utilizatorului și a trimite e-mailurile spam tuturor contactelor acestora. Într-un sens, acesta este un vierme de e-mail de tip XSS, care se propagă.

vulnerabilitatea XSS exploatată este localizată într-o componentă WordPress numită SWFUpload și a fost patch-uri în WordPress versiunea 3.3.2 care a fost lansată în aprilie 2012; Au declarat cercetatorii de la Bitdefender. Cu toate acestea, site-ul Blog YDN pare să utilizeze o versiune depășită a WordPress.

Cum să evite problemele

După ce au descoperit atacul miercuri, cercetătorii Bitdefender au căutat baza de date spam a companiei și au găsit mesaje foarte asemănătoare, luni, a declarat Bogdan Botezatu, analist senior la Bitdefender, joi prin e-mail.

"Este extrem de dificil de estimat rata de succes a unui astfel de atac, deoarece nu poate fi vazut in reteaua de senzori", a spus el a spus. "Cu toate acestea, estimăm că aproximativ un procent din spam-ul pe care l-am procesat în ultima lună este cauzat de acest incident."

Bitdefender a raportat miercuri vulnerabilitatea la Yahoo, dar părea să fie exploatabilă joi, a spus Botezatu. "Unele dintre conturile noastre de testare trimit încă acest tip specific de spam", a afirmat el.

Într-o declarație trimisă mai târziu joi, Yahoo a spus că a făcut patch-uri vulnerabilității

"Yahoo ia securitatea și datele utilizatorilor noștri serios ", a declarat un reprezentant al Yahoo prin e-mail. "Am aflat recent despre vulnerabilitatea unei firme de securitate externe și confirmăm că am rezolvat vulnerabilitatea. Îi încurajăm pe utilizatorii interesați să-și schimbe parolele la o parolă puternică care combină literele, numerele și simbolurile și pentru a permite cea de-a doua provocare de conectare setările contului lor. "

Botezatu ia sfătuit pe utilizatori să evite accesul pe link-urile primite prin e-mail, mai ales dacă sunt scurtate cu bit.ly. Determinarea dacă un link este rău intenționat înainte de deschidere poate fi greu pentru atacurile de genul acesta, a spus el.

În acest caz, mesajele provin de la oameni pe care utilizatorii știau - expeditorii se aflau în listele lor de contacte - a fost bine creat pentru a arata ca portalul respectabil MSNBC, a spus el. "Este un tip de atac pe care ne așteptăm să îl avem cu mare succes."

Botezatu ia sfătuit pe utilizatori să evite clicurile pe linkurile primite prin e-mail, mai ales dacă sunt scurtate cu bit.ly. Determinarea faptului dacă un link este rău intenționat înainte de deschidere poate fi greu cu atacuri ca acestea, a spus el.

În acest caz, mesajele provin de la oameni pe care utilizatorii știau - expeditorii erau în listele lor de contacte - - creat pentru a arata ca portalul respectabil MSNBC, a spus el. "Este un tip de atac pe care ne așteptăm să îl avem cu mare succes."

Actualizat 31.03.2013 cu comentarii Yahoo