Yahoo besmet bezoekers met malware
Via het reclamenetwerk van Yahoo zijn waarschijnlijk duizenden internetsurfers besmet met malware. Dat ontdekte de Nederlandse security-specialist Fox IT (bij ons vooral bekend omdat ze Belgacom hielpen met de GCHQ-hack).
Zodra bezoekers een pagina bezochten waarop een van de besmette reclamebanners te zien was, werden ze doorgestuurd naar een website die probeerde om malware op hun pc’s te zetten.
[related_article id=”161920″]
Verouderde versie van Java
Volgens Fox IT was het daarbij zelfs niet nodig dat ze op de banner hadden geklikt. Het bedrijf schat dat er per uur zo’n 300.000 bezoekers naar de kwaadaardige site werden doorverwezen. De aanval steunde op een kwetsbaarheid in een verouderde versie van Java.
“Met een typisch infectiepercentage van 9% betekent dat zo’n 27.000 besmettingen per uur”, zegt Fox IT op zijn blog. “De meest getroffen landen blijken Roemenië, Groot-Brittannië en Frankrijk te zijn. Waarom dat zo is, is nog niet helemaal duidelijk. Waarschijnlijk heeft het te maken met de manier waarop de geïnfecteerde advertenties op Yahoo geconfigureerd zijn.”
Vooral Europese pc-gebruikers getroffen
Fox IT vond aanwijzingen dat de surfers doorgestuurd werden naar domeinen die in Nederland werden gehost, maar kon niet achter de identiteit van de hackers komen. Het webverkeer naar de sites in kwestie is ondertussen al aan het afnemen, wat waarschijnlijk betekent dat Yahoo maatregelen heeft genomen om de besmettingen tegen te gaan.
Yahoo reageert
Yahoo heeft ondertussen bevestigd dat het getroffen werd door een aanval. “We hebben recent een advertentie ontdekt die malware verspreidde bij sommige van onze gebruikers”, zo zegt een woordvoerder. “We hebben deze onmiddellijk verwijderd en blijven alle advertenties in de gaten houden. Advertenties die voor dit soort zaken worden ingezet worden geblokkeerd.”
Het bedrijf liet later ook nog weten dat het vooral Europese gebruikers met pc’s waren die door de malware werden getroffen. De besmette reclame zou van 31 december tot 3 januari op de site gestaan hebben.
Ook problemen met Yahoo Mail en Messenger
Over hoe de malware precies bij Yahoo geraakte, hoeveel mensen er exact besmet zijn en wat surfers met problemen moeten doen, daar heeft de Amerikaanse webgigant zich nog niet over uitgelaten. Een andere Nederlandse beveiliger, Surfright, meldde ondertussen dat ook gebruikers van Yahoo Mail en Yahoo Messenger laten weten dat ze met malware besmet zijn.
Volgens Surfright kan de geïnstalleerde malware gebruikt worden voor klikfraude, om een pc op afstand over te nemen, om antivirussoftware uit te schakelen of om wachtwoorden en inloggegevens te stelen.
Via het reclamenetwerk van Yahoo zijn waarschijnlijk duizenden internetsurfers besmet met malware. Dat ontdekte de Nederlandse security-specialist Fox IT (bij ons vooral bekend omdat ze Belgacom hielpen met de GCHQ-hack).
Zodra bezoekers een pagina bezochten waarop een van de besmette reclamebanners te zien was, werden ze doorgestuurd naar een website die probeerde om malware op hun pc’s te zetten.
[related_article id=”161920″]
Verouderde versie van Java
Volgens Fox IT was het daarbij zelfs niet nodig dat ze op de banner hadden geklikt. Het bedrijf schat dat er per uur zo’n 300.000 bezoekers naar de kwaadaardige site werden doorverwezen. De aanval steunde op een kwetsbaarheid in een verouderde versie van Java.
“Met een typisch infectiepercentage van 9% betekent dat zo’n 27.000 besmettingen per uur”, zegt Fox IT op zijn blog. “De meest getroffen landen blijken Roemenië, Groot-Brittannië en Frankrijk te zijn. Waarom dat zo is, is nog niet helemaal duidelijk. Waarschijnlijk heeft het te maken met de manier waarop de geïnfecteerde advertenties op Yahoo geconfigureerd zijn.”
Vooral Europese pc-gebruikers getroffen
Fox IT vond aanwijzingen dat de surfers doorgestuurd werden naar domeinen die in Nederland werden gehost, maar kon niet achter de identiteit van de hackers komen. Het webverkeer naar de sites in kwestie is ondertussen al aan het afnemen, wat waarschijnlijk betekent dat Yahoo maatregelen heeft genomen om de besmettingen tegen te gaan.
Yahoo reageert
Yahoo heeft ondertussen bevestigd dat het getroffen werd door een aanval. “We hebben recent een advertentie ontdekt die malware verspreidde bij sommige van onze gebruikers”, zo zegt een woordvoerder. “We hebben deze onmiddellijk verwijderd en blijven alle advertenties in de gaten houden. Advertenties die voor dit soort zaken worden ingezet worden geblokkeerd.”
Het bedrijf liet later ook nog weten dat het vooral Europese gebruikers met pc’s waren die door de malware werden getroffen. De besmette reclame zou van 31 december tot 3 januari op de site gestaan hebben.
Ook problemen met Yahoo Mail en Messenger
Over hoe de malware precies bij Yahoo geraakte, hoeveel mensen er exact besmet zijn en wat surfers met problemen moeten doen, daar heeft de Amerikaanse webgigant zich nog niet over uitgelaten. Een andere Nederlandse beveiliger, Surfright, meldde ondertussen dat ook gebruikers van Yahoo Mail en Yahoo Messenger laten weten dat ze met malware besmet zijn.
Volgens Surfright kan de geïnstalleerde malware gebruikt worden voor klikfraude, om een pc op afstand over te nemen, om antivirussoftware uit te schakelen of om wachtwoorden en inloggegevens te stelen.