E-postangrep utnytter sikkerhetsproblemet i Yahoo-nettstedet for å kapre kontoer

Hackere bak en nylig oppdaget epost-angrepskampanje utnytter et sikkerhetsproblem på et Yahoo-nettsted for å kapre e-postkontiene til Yahoo-brukere og Bruk dem til spam, ifølge sikkerhetsforskere fra antivirusleverandøren Bitdefender.

Angrepet begynner med at brukerne mottar en spam-e-post med navnet i emnelinjen og en kort "sjekk ut denne siden" -melding etterfulgt av en litt forkortet link. Ved å klikke på koblingen blir brukere til et nettsted masquerading som MSNBC-nyhetssitet som inneholder en artikkel om hvordan man tjener penger mens du jobber hjemmefra, sier Bitdefender-forskerne onsdag i et blogginnlegg. fra andre arbeid-fra-hjemmet svindel nettsteder. I bakgrunnen utnytter et stykke JavaScript-kode imidlertid et sårbarhetsproblem på tvers av nettstedskript i Yahoo Developer Network (YDN) Blog-siden for å stjele den besøkendes Yahoo-øktkake.

[Videre lesing: Hvordan fjern malware fra din Windows-PC]

Slik fungerer det

Session-cookies er unike tekststrenger lagret av nettsteder i nettleserne for å huske innloggede brukere før de logger ut. Nettlesere bruker en sikkerhetsmekanisme som heter politikk med samme opprinnelse for å forhindre at nettsteder åpnes i forskjellige kategorier fra å få tilgang til hverandres ressurser, som øktkaksler.

Politikken med samme opprinnelse håndheves vanligvis per domene. For eksempel kan google.com ikke få tilgang til øktkakene for yahoo.com, selv om brukeren kan være logget inn på begge nettsteder samtidig i samme nettleser. Men avhengig av informasjonskapselinnstillingene kan underdomenene få tilgang til øktkaket som er angitt av foreldrenes domener.

Dette ser ut til å være tilfelle med Yahoo, der brukeren fortsatt er logget inn, uavhengig av hvilket Yahoo-underdomen de besøker, inkludert developer.yahoo. com.

Den falske JavaScript-koden lastet fra den falske MSNBC-nettsiden tvinger den besøkende nettleseren til å ringe developer.yahoo.com med en spesifikt utformet nettadresse som utnytter XSS-sårbarheten og kjører ytterligere JavaScript-kode i sammenheng med developer.yahoo. com-underdomene.

Denne ekstra JavaScript-koden leser Yahoo-brukerens øktkake og laster den opp til et nettsted som kontrolleres av angriperne. Cookien brukes da til å få tilgang til brukerens e-postkonto og sende spam-e-posten til alle sine kontakter. På en måte er dette en XSS-drevet, selvutbredende e-postmask.

Den utnyttede XSS-sårbarheten er faktisk plassert i en WordPress-komponent kalt SWFUpload og ble oppdatert i WordPress versjon 3.3.2 som ble utgitt i april 2012, Bitdefender forskere sa. Men siden YDN Blog-siden ser ut til å bruke en utdatert versjon av WordPress.

Slik unngår du problemer

Etter å ha oppdaget angrepet på onsdag, søkte Bitdefender-forskerne selskapets spamdatabase og fant svært like meldinger som nesten er tilbake måned, sa Bogdan Botezatu, senior e-trusselytiker ved Bitdefender, torsdag via e-post.

"Det er ekstremt vanskelig å anslå suksessraten for et slikt angrep fordi det ikke kan ses i sensornettverket," sa han sa. "Vi estimerer imidlertid at omtrent en prosent av spam vi har behandlet i den siste måneden, er forårsaket av denne hendelsen."

Bitdefender rapporterte sårbarheten til Yahoo onsdag, men det virket fortsatt utnytte på torsdag, sa Botezatu. "Noen av våre testkontoer sender fremdeles denne spesifikke typen spam," sa han.

I en uttalelse sendt senere på torsdag, sa Yahoo at den hadde patched sikkerheten.

"Yahoo tar sikkerhet og brukerens data seriøst, sier en Yahoo-representant via e-post. "Vi har nylig lært om et sikkerhetsproblem fra et eksternt sikkerhetsfirma og bekrefter at vi har løst sikkerhetsproblemet. Vi oppfordrer bekymrede brukere til å endre passordene sine til et sterkt passord som kombinerer bokstaver, tall og symboler, og for å aktivere den andre påloggingsutfordringen i deres kontoinnstillinger. "

Botezatu anbefalte brukere å unngå å klikke på koblinger mottatt via e-post, spesielt hvis de forkortes med bit.ly. Det er vanskelig å finne ut om en kobling er ondsinnet før den åpnes, men det kan være vanskelig med angrep som disse. Han sa i dette tilfellet at meldingene kom fra folk brukerne visste - senderne var i kontaktlister - og ondsinnet nettsted var godt utformet for å se ut som respektabel MSNBC portal, sa han. "Det er en type angrep som vi regner med å være svært vellykket."

Botezatu anbefalte brukerne å unngå å klikke på koblinger mottatt via e-post, spesielt hvis de forkortes med bit.ly. Å finne ut om en kobling er ondsinnet før den åpnes, kan være vanskelig med angrep som disse, sa han.

I dette tilfellet kom meldingene fra folk brukerne visste - senderne var i deres kontaktlister - og det ondsinnede stedet var godt -crafted å se ut som respektabel MSNBC portal, sa han. "Det er en type angrep som vi regner med å være svært vellykket."

Oppdatert 31.01.2013 med Yahoo-kommentarer