Serangan email mengeksploitasi kerentanan di laman Yahoo untuk merampas akaun

Hacker di belakang kempen serangan e-mel yang baru dikesan mengeksploitasi kerentanan di laman web Yahoo untuk merampas akaun e-mel pengguna Yahoo dan gunakannya untuk spam, menurut penyelidik keselamatan dari vendor antivirus Bitdefender.

Serangan bermula dengan pengguna yang menerima e-mel spam dengan nama mereka dalam baris subjek dan "cek laman ini" pendek yang diikuti oleh bit.ly pautan. Mengklik pada pautan itu membawa pengguna ke laman web yang menyamar sebagai laman berita MSNBC yang mengandungi artikel tentang cara membuat wang semasa bekerja dari rumah, kata penyelidik Bitdefender pada hari Rabu dalam sebuah catatan blog.

Pada pandangan pertama, ini kelihatannya tidak berbeza dari tapak penipuan kerja dari rumah. Walau bagaimanapun, di latar belakang, sekeping kod JavaScript mengeksploitasi kerentanan skrip lintas tapak (XSS) di laman Blog Rangkaian Yahoo (YDN) untuk mencuri cookie sesi Yahoo pengunjung.

[Bacaan lanjut: Bagaimana keluarkan malware dari PC Windows anda]

Bagaimana ia berfungsi

Kuki sesi adalah rentetan unik teks yang disimpan oleh tapak web di dalam pelayar untuk mengingati pengguna log masuk sehingga mereka keluar. Pelayar web menggunakan mekanisma keselamatan yang dipanggil dasar asal yang sama untuk menghalang laman web dibuka di tab yang berlainan daripada mengakses sumber masing-masing, seperti kuki sesi.

Dasar asal yang sama biasanya dikuatkuasakan untuk setiap domain. Sebagai contoh, google.com tidak dapat mengakses kuki sesi untuk yahoo.com walaupun pengguna mungkin log masuk ke kedua-dua tapak web pada masa yang sama dalam penyemak imbas yang sama. Walau bagaimanapun, bergantung pada tetapan kuki, subdomain boleh mengakses kuki sesi yang ditetapkan oleh domain induk mereka.

Ini nampaknya berlaku dengan Yahoo, di mana pengguna masih log masuk tanpa mengira apa yang subdomain Yahoo mereka lawati, termasuk developer.yahoo. com

Kod JavaScript jahat yang dimuat dari laman web MSNBC palsu memaksa pelayar pelayar untuk memanggil developer.yahoo.com dengan URL yang dibuat khusus yang mengeksploitasi kelemahan XSS dan melaksanakan kod JavaScript tambahan dalam konteks pemaju.yahoo. com subdomain.

Kod JavaScript tambahan ini membaca cookie sesi pengguna Yahoo dan memuat naiknya ke laman web yang dikawal oleh penyerang. Kuki kemudiannya digunakan untuk mengakses akaun e-mel pengguna dan menghantar e-mel spam ke semua kenalan mereka. Ini adalah cacing e-mel yang menyebarkan XSS yang berkuasa dan menyebarkan XSS.

Kerentanan XSS yang dieksploitasi sebenarnya terletak pada komponen WordPress yang dipanggil SWFUpload dan ditambal dalam versi WordPress 3.3.2 yang dikeluarkan pada bulan April 2012, Penyelidik Bitdefender berkata. Walau bagaimanapun, laman Blog YDN kelihatan menggunakan versi WordPress yang sudah lapuk.

Bagaimana untuk mengelakkan masalah

Selepas menemui serangan pada hari Rabu, penyelidik Bitdefender mencari pangkalan data spam syarikat dan mendapati mesej yang hampir serupa sejak hampir "Bogdan Botezatu, penganalisis e-ancaman senior di Bitdefender, melalui e-mel.

" Sangat sulit untuk menganggarkan kadar kejayaan serangan semacam itu kerana ia tidak dapat dilihat dalam rangkaian sensor, "katanya. kata. "Bagaimanapun, kami menganggarkan bahawa kira-kira satu peratus daripada spam yang kami telah diproses pada bulan lalu adalah disebabkan oleh insiden ini."

Bitdefender melaporkan kerentanan kepada Yahoo pada hari Rabu, namun ia masih kelihatan seperti eksploit pada hari Khamis, kata Botezatu. "Beberapa akaun ujian kami masih menghantar jenis spam yang spesifik ini," katanya.

Dalam satu kenyataan yang dihantar kemudian pada hari Khamis, Yahoo berkata ia telah menambal kerentanan itu.

"Yahoo mengambil keselamatan dan data pengguna kami serius, "kata seorang wakil Yahoo melalui e-mel. "Kami baru-baru ini mengetahui tentang kelemahan dari firma keselamatan luaran dan mengesahkan bahawa kami telah menetapkan kerentanan itu. Kami menggalakkan pengguna yang berkenaan untuk menukar kata laluan mereka kepada kata laluan yang kuat yang menggabungkan huruf, angka, dan simbol, dan membolehkan cabaran log masuk kedua dalam tetapan akaun mereka. "

Botezatu menasihati pengguna untuk mengelakkan mengklik pautan yang diterima melalui e-mel, terutama jika mereka dipendekkan dengan bit.ly. Menentukan sama ada pautan berniat jahat sebelum dibuka boleh menjadi sukar dengan serangan seperti ini, katanya.

Dalam kes ini, mesej datang dari pengguna yang diketahui pengguna - pengirim berada dalam senarai kenalan mereka - dan laman web yang berniat jahat telah direka dengan baik untuk kelihatan seperti portal MSNBC yang dihormati, katanya. "Ia adalah sejenis serangan yang kami jangkakan untuk menjadi sangat berjaya."

Botezatu menasihati pengguna untuk mengelakkan mengklik pautan yang diterima melalui e-mel, terutama jika mereka dipendekkan dengan bit.ly. Menentukan sama ada pautan berniat jahat sebelum dibuka boleh menjadi sukar dengan serangan seperti ini, katanya.

Dalam kes ini, mesej datang dari pengguna yang diketahui oleh pengguna-pengirim berada dalam senarai kenalan mereka-dan laman web berniat jahat - dipamerkan untuk kelihatan seperti portal MSNBC yang dihormati, katanya. "Ia adalah sejenis serangan yang kami harapkan untuk menjadi sangat berjaya."

Dikemaskini 1/31/2013 dengan komen Yahoo