Sähköposti-hyökkäys hyödyntää Yahoo-sivuston haavoittuvuutta kaappaamistileihin

Hiljattain havaitun sähköpostin hyökkäyskampanjan hakkerit käyttävät Yahoo-sivuston haavoittuvuutta kaapata Yahoo-käyttäjien sähköpostitilit ja käytä niitä roskapostiksi virustentorjunnan toimittajan Bitdefenderin tietoturva-tutkijoiden mukaan.

Hyökkäys alkaa, kun käyttäjät vastaanottavat roskapostiviestin, jonka nimi on otsikkorivillä, ja lyhyt "tarkista tämä sivu" -viesti, jota seuraa bit.ly lyhennetty linkki. Linkin napsauttaminen vie käyttäjät verkkosivustolle, joka naamioituu MSNBC: n uutissivustoksi, joka sisältää artikkelin siitä, kuinka tehdä rahaa kotona työskentelystä, Bitdefender-tutkijat sanoivat keskiviikkona blogikirjoituksessa.

Ensi silmäyksellä tämä ei näytä olevan erilainen muilta työläisten huijauskohteilta. Taustalla JavaScript-koodin osa kuitenkin hyödyntää Yahoo Developer Network (YDN) Blog-sivustoa sivustojen komentosarjatunnisteen (XSS) haavoittuvuuden varastamiseksi vierailijan Yahoo-istunnon evästeen varalta.

[Lue lisää: poista haittaohjelmat Windows-tietokoneelta]

Miten se toimii

Istuntoheitit ovat yksittäisten selainten sivuilla tallennettua tekstiä, jotta ne voivat kirjautua kirjautuneisiin käyttäjiin, kunnes he kirjautuvat ulos. Web-selaimet käyttävät samaa alkuperää koskevaa käytäntöä estävän eri välilehtien avaamien verkkosivustojen pääsyn toistensa resursseihin, kuten istunnon evästeisiin.

Samaa alkuperää koskeva käytäntö noudatetaan yleensä verkkotunnusta kohden. Esimerkiksi google.com ei voi käyttää istunto evästeitä yahoo.com-sivustoon, vaikka käyttäjä olisi kirjautunut molempiin verkkosivustoihin samaan aikaan samassa selaimessa. Evästeasetusten mukaan aliverkkotunnukset voivat kuitenkin käyttää niiden isäntäverkkojen asettamia istuntojen evästeitä.

Tämä näyttää olevan tapaus Yahoo: n kanssa, jossa käyttäjä on kirjautunut sisään riippumatta siitä, mitä Yahoo-aliverkkotunnusta he vierailevat, mukaan lukien developer.yahoo. com.

Väärennetystä MSNBC-verkkosivustosta ladatun rogue-JavaScript-koodin avulla kävijäselaimella soitetaan developer.yahoo.com-sivustoon, jossa on nimenomaan muotoiltu URL-osoite, joka hyödyntää XSS-heikkoutta ja suorittaa ylimääräisen JavaScript-koodin kehittäjä.yahoo-kontekstissa. com aliverkkotunnus.

Tämä ylimääräinen JavaScript-koodi lukee Yahoo-käyttäjän istunnon evästeen ja lähettää sen verkkosivustolle, jota hyökkääjät hallitsevat. Sitten evästettä käytetään käyttäjän sähköpostitilille pääsemiseen ja roskapostiviestien lähettämiseen kaikkiin heidän yhteystietoihinsä. Tämä on XSS-powered, itsestään leviävä sähköposti-mato.

Käytetty XSS-haavoittuvuus on tosiasiallisesti sijoitettu WordPress-komponenttiin nimeltä SWFUpload ja se korjattiin huhtikuussa 2012 julkaistussa WordPress-versiossa 3.3.2. Bitdefender-tutkijat sanoivat. YDN Blog-sivusto näyttää kuitenkin käyttävän vanhentunutta WordPress-versiota.

Miten välttää ongelmia

Bitdefender-tutkijat löysivät keskiviikkona tehdyn hyökkäyksen jälkeen etsimällä yrityksen roskapostitietokantaa ja löysin hyvin samankaltaisia ​​viestejä, jotka ovat peräisin lähes kuukausi, sanoi e-uhka analyytikko Bogdan Botezatu torstaina sähköpostitse.

"On erittäin vaikeaa arvioida tällaisen hyökkäyksen onnistumisastetta, koska sitä ei voida nähdä anturiverkossa", hän sanoo. sanoi. "Arvostamme kuitenkin, että noin yksi prosentti viime kuussa käsitellyistä roskapostista johtuu tästä tapauksesta."

Bitdefender ilmoitti haavoittuvuudesta Yahooille keskiviikkona, mutta se näytti siltä, ​​että se olisi hyödynnettävissä torstaina, Botezatu sanoi. "Jotkut testitileistä lähettävät edelleen tätä tietyntyyppistä roskapostia", hän sanoi.

Yahoo ilmoitti, että se oli korjannut haavoittuvuuden torstaina.

"Yahoo ottaa turvallisuuden ja käyttäjien tietojen vakavasti ", Yahoo-edustaja sanoi sähköpostitse. "Olemme hiljattain oppineet tietoturvaongelmasta ulkoiselta turva-alan yritykseltä ja vahvistamme, että olemme korjattaneet haavoittuvuuden. Kehotamme asianomaisia ​​käyttäjiä vaihtamaan salasanansa vahvaan salasanaan, joka yhdistää kirjaimet, numerot ja symbolit sekä mahdollistaa toisen kirjautumishaasteen niiden tilien asetukset. "

Botezatu kehotti käyttäjiä vältemään napsauttamalla sähköpostiviestien kautta saatuja linkkejä, varsinkin jos ne lyhennetään bit.ly.

Tässä tapauksessa viestit tulivat ihmisiltä, ​​jotka käyttäjät tiesivät - lähettäjät olivat heidän yhteystietoluettelossasi - ja haitallisen sivuston oli hyvin muotoiltu näyttämään kunnioittavalta MSNBC-portaalista, hän sanoi. "Se on eräänlainen hyökkäys, jota odotamme olevan erittäin onnistunut."

Botezatu kehotti käyttäjiä vältemään napsauttamalla sähköpostiviestien kautta saatuja linkkejä, varsinkin jos ne lyhennetään bit.ly.

Tässä tapauksessa viestit tulivat ihmisiltä, ​​jotka käyttäjät tiesivät - lähettäjät olivat heidän yhteystietoluettelossasi - ja haitallinen sivusto oli hyvin. - rakennettu näyttämään kunnioittavalta MSNBC-portaalista, hän sanoi. "Se on eräänlainen hyökkäys, jonka odotamme olevan erittäin onnistunut."

Päivitetty 31.1.2013 Yahoo-kommenttien kanssa