Атака электронной почты использует уязвимость на сайте Yahoo для захвата учетных записей

Хакеры за недавно обнаруженной атакой по электронной почте используют уязвимость на веб-сайте Yahoo, чтобы захватить учетные записи электронной почты пользователей Yahoo и использовать их для спама, согласно исследователям безопасности от антивирусного поставщика Bitdefender.

Атака начинается с того, что пользователи получают спам-адрес электронной почты с их именем в строке темы и короткое сообщение «ознакомьтесь с этой страницей», за которым следует бит. ссылка. Нажав на ссылку, вы попадаете на сайт, на который ссылается новостной сайт MSNBC, в котором содержится статья о том, как зарабатывать деньги, работая дома, исследователи Bitdefender заявили в среду в сообщении в блоге.

На первый взгляд это ничем не отличается от других сайтов мошенничества на дому. Однако в фоновом режиме часть кода JavaScript использует уязвимость межсайтового скриптинга (XSS) на сайте блога Yahoo Developer Network (YDN), чтобы украсть файл cookie Yahoo для посетителей.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Как это работает

Файлы cookie сеанса - это уникальные строки текста, хранящиеся на веб-сайтах внутри браузеров, чтобы запомнить зарегистрированных пользователей до их выхода. В веб-браузерах используется механизм безопасности, называемый политикой одного и того же происхождения, чтобы запретить доступ к ресурсам друг друга, открытые на разных вкладках, к ресурсам друг друга, например, к файлам сеансов.

Политика одного и того же происхождения обычно применяется для каждого домена. Например, google.com не может получить доступ к файлам cookie сеанса для yahoo.com, даже если пользователь может одновременно регистрироваться на обоих сайтах в одном браузере. Однако, в зависимости от настроек cookie, субдомены могут получить доступ к файлам cookie для сеансов, установленным их родительскими доменами.

Это похоже на Yahoo, где пользователь остается включенным независимо от того, какой поддомен Yahoo он посещает, включая developer.yahoo. com.

Кодирующий код JavaScript, загруженный с поддельного веб-сайта MSNBC, заставляет браузер посетителя ссылаться на developer.yahoo.com с специально созданным URL-адресом, который использует уязвимость XSS и выполняет дополнительный код JavaScript в контексте developer.yahoo. com.

Этот дополнительный код JavaScript читает куки-файл сеанса пользователя Yahoo и загружает его на веб-сайт, контролируемый злоумышленниками. Затем cookie используется для доступа к учетной записи электронной почты пользователя и отправки спам-письма всем своим контактам. В некотором смысле, это червь, распространяющийся по электронной почте с использованием XSS.

Уязвимость уязвимости XSS на самом деле находится в компоненте WordPress под названием SWFUpload и была исправлена ​​в версии 3.3.2 WordPress, выпущенной в апреле 2012 года. Исследователи Bitdefender сказали. Тем не менее, сайт сайта YDN, похоже, использует устаревшую версию WordPress.

Как избежать неприятностей

После обнаружения атаки в среду исследователи Bitdefender исследовали базу данных спама компании и обнаружили очень похожие сообщения, месяц, сказал Богдан Ботезату, старший аналитик по электронной угрозе в Битденфенде, в четверг по электронной почте.

«Очень сложно оценить вероятность успеха такой атаки, потому что она не может быть замечена в сенсорной сети», - сказал он сказал. «Однако мы оцениваем, что примерно один процент спама, который мы обработали в прошлом месяце, вызван этим инцидентом».

Bitdefender сообщил об уязвимости Yahoo в среду, но, по-видимому, он использовался в четверг, сказал Ботезату, «Некоторые из наших тестовых учетных записей по-прежнему отправляют этот особый тип спама», - сказал он.

В заявлении, отправленном позже в четверг, Yahoo заявила, что исправила эту уязвимость.

«Yahoo берет на себя безопасность и данные наших пользователей серьезно », - сказал представитель Yahoo по электронной почте. «Мы недавно узнали об уязвимости внешней охранной фирмы и подтвердили, что мы исправили эту уязвимость. Мы рекомендуем заинтересованным пользователям менять свои пароли на сильный пароль, который объединяет буквы, цифры и символы, а также для включения второй процедуры входа в систему их настройки учетной записи. "

Botezatu рекомендовал пользователям избегать нажатия на ссылки, полученные по электронной почте, особенно если они сокращены с помощью bit.ly. Определить, является ли ссылка злонамеренной, прежде чем открывать ее, может быть сложно с такими атаками, сказал он.

В этом случае сообщения поступали от людей, которых знали пользователи - отправители находились в их списках контактов, - и вредоносный сайт был хорошо продуман, чтобы выглядеть как почтенный портал MSNBC, сказал он. «Это тип атаки, который, как мы ожидаем, будет очень успешным».

Botezatu рекомендовал пользователям избегать нажатия на ссылки, полученные по электронной почте, особенно если они сокращены бит.ly. Определить, является ли ссылка злонамеренной до ее открытия, может быть сложно с такими атаками, сказал он.

В этом случае сообщения поступали от людей, которых знали пользователи - отправители были в своих списках контактов, - и злонамеренный сайт был хорошо - сказал он, - чтобы выглядеть как респектабельный портал MSNBC. «Это тип атаки, который, как мы ожидаем, будет очень успешным».

Обновлено 31.01.2013 с комментариями Yahoo