Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
quoideneuf1.over-blog.com

Yahoo: des millions de visiteurs touchés par une grosse attaque de malware

7 Janvier 2014 , Rédigé par nicko Publié dans #informatique

Yahoo: des millions de visiteurs touchés par une grosse attaque de malware

Les annonces sur Yahoo rediriger les utilisateurs vers des sites qui installent une foule de logiciels malveillants différents

La société de sécurité informatique Fox IT estime que jusqu'à 29 000 ordinateurs par heure ont été touchés

Les visiteurs sur Yahoo.com la semaine dernière ont pu être affectés par des logiciels malveillants provenant d'annonces du site.

Selon la firme de sécurité en ligne Fox informatique basée aux Pays-Bas, les utilisateurs qui ont cliqué sur des annonces sur le site ont été redirigés vers des sites qui exploitent les vulnérabilités dans Java et installés une multitude de logiciels malveillants différents.

«Les clients qui visitent yahoo.com reçoivent des annonces desservies par ads.yahoo.com, et certaines d'entre elles sont malveillantes


Ces annonces malveillantes sont les iframes hébergés sur les domaines suivants:

  • blistartoncom.org (192.133.137.59), enregistrée le 1 janvier 2014
  • slaptonitkons.net (192.133.137.100), enregistrée le 1 janvier 2014
  • origine-filmsonline.com (192.133.137.63)
  • funnyboobsonline.org (192.133.137.247)
  • yagerass.org (192.133.137.56)

Lors de sa visite les annonces malveillantes l'utilisateurs est redirigés vers un "Magnitude" exploit kit via une redirection HTTP vers des sous-domaines apparemment aléatoires de:

  • boxsdiscussing.net
  • crisisreverse.net
  • limitingbeyond.net
  • et d'autres

Tous ces domaines sont servis à partir d'une seule adresse IP: 193.169.245.78. Cette adresse IP semble être hébergé dans les Pays-Bas.

Ce kit exploiter exploite les vulnérabilités dans Java et installe une foule de logiciels malveillants différents, y compris:

  • ZeuS
  • Andromeda
  • Dorkbot / Ngrbot
  • Publicité cliquant logiciels malveillants
  • Tinba / Zusy
  • Necurs

L'enquête a montré que les premiers signes d'infection datta du 30 Décembre 2013. D'autres rapports suggèrent qu'elle pourrait avoir commencé encore plus tôt.

Schématiquement l'exploit ressemble à ceci:

Yahoo: des millions de visiteurs touchés par une grosse attaque de malware

Taille

Basé sur un échantillon de trafic, nous estimons le nombre de visites sur le site malveillant d'être autour 300k/hr. Compte tenu d'un taux d'infection typique de 9% cela se traduirait par environ 27.000 infections par heure. Basé sur le même échantillon, les pays les plus touchés par le kit exploiter sont la Roumanie, la Grande-Bretagne et la France. A cette époque, on ne sait pas pourquoi ces pays sont les plus touchés.

Yahoo: des millions de visiteurs touchés par une grosse attaque de malware

Motivation

On ne sait pas quel groupe spécifique est derrière cette attaque, mais les assaillants sont clairement motivés financièrement et semblent offrir des services à d'autres acteurs. Le kit d'exploit a des similitudes à celle utilisée dans le mémoire de l'infection php.net en Octobre 2013.

Conseils

Pour bloquer l'accès des adresses IP avec la publicité malveillante et le kit exploit suivants:

  • Bloquer le sous-réseau 192.133.137/24
  • Bloquer le sous-réseau 193.169.245/24

Aussi inspecter de près le trafic réseau pour des signes d'exploits réussis pour l'un des logiciels malveillants chuté.

Yahoo dit qu'il est au courant du problème et travaille a y apporter une solution.

Source: blog.fox-it

Partager cet article

Repost 0

Commenter cet article