Η επίθεση ηλεκτρονικού ταχυδρομείου εκμεταλλεύεται την ευπάθεια στον ιστότοπο της Yahoo για να καταλάβει λογαριασμούς

Οι χάκερ πίσω από μια πρόσφατα εντοπισμένη καμπάνια επίθεσης ηλεκτρονικού ταχυδρομείου εκμεταλλεύονται μια ευπάθεια σε έναν ιστότοπο της Yahoo για να διαστρέψουν τους λογαριασμούς ηλεκτρονικού ταχυδρομείου των χρηστών του Yahoo όπως η έρευνα Bitdefender

Η επίθεση ξεκινά με τη λήψη μηνυμάτων spam με το όνομα τους στη γραμμή θέματος και με ένα σύντομο μήνυμα "check out this page" που ακολουθείται από ένα bit.ly μικρότερο Σύνδεσμος. Κάνοντας κλικ στο σύνδεσμο οι χρήστες οδηγούν σε έναν ιστότοπο που χαρακτηρίζεται ως ο ιστότοπος ειδήσεων του MSNBC που περιέχει ένα άρθρο σχετικά με το πώς να κερδίσετε χρήματα ενώ εργάζεστε από το σπίτι, οι ερευνητές του Bitdefender δήλωσαν την Τετάρτη σε μια θέση στο blog.

Με την πρώτη ματιά, από άλλους ιστότοπους απάτης στο σπίτι. Ωστόσο, στο παρασκήνιο, ένα κομμάτι κώδικα JavaScript εκμεταλλεύεται μια ευπάθεια ιστότοπου δέσμης ενεργειών μεταξύ ιστότοπων (XSS) στον ιστοτόπο του δικτυακού τόπου του Yahoo Developer Network (YDN), προκειμένου να κλέψει το cookie συνόδου Yahoo του επισκέπτη.

καταργήστε το κακόβουλο λογισμικό από τον υπολογιστή σας Windows

Πώς λειτουργεί

Τα cookie περιόδου λειτουργίας είναι μοναδικά αρχεία κειμένου αποθηκευμένα από ιστότοπους μέσα στα προγράμματα περιήγησης, προκειμένου να θυμούνται τους συνδεδεμένους χρήστες μέχρι να αποσυνδεθούν. Τα προγράμματα περιήγησης στο Web χρησιμοποιούν έναν μηχανισμό ασφαλείας που ονομάζεται πολιτική ίδιας προέλευσης, ώστε να αποτρέπεται η πρόσβαση σε ιστότοπους που ανοίγουν σε διαφορετικές καρτέλες, όπως τα cookie περιόδου λειτουργίας.

Η πολιτική ίδιας προέλευσης συνήθως επιβάλλεται ανά τομέα. Για παράδειγμα, το google.com δεν έχει πρόσβαση στα cookie περιόδου σύνδεσης για το yahoo.com, παρόλο που ο χρήστης ενδέχεται να συνδεθεί ταυτόχρονα και στους δύο ιστότοπους στο ίδιο πρόγραμμα περιήγησης. Ωστόσο, ανάλογα με τις ρυθμίσεις cookie, οι υποτομείς μπορούν να αποκτήσουν πρόσβαση σε cookies περιόδου λειτουργίας που ορίζονται από τους γονικούς τους τομείς.

Αυτό φαίνεται να συμβαίνει με το Yahoo, όπου ο χρήστης παραμένει συνδεδεμένος ανεξάρτητα από τον υποτομέα Yahoo που επισκέπτονται, συμπεριλαμβανομένου του developer.yahoo.

Ο απατεώνας κώδικας JavaScript που φορτώνεται από την ψεύτικη τοποθεσία MSNBC αναγκάζει το πρόγραμμα περιήγησης του επισκέπτη να καλέσει τον developer.yahoo.com με μια ειδικά σχεδιασμένη διεύθυνση URL που εκμεταλλεύεται την ευπάθεια XSS και εκτελεί πρόσθετο κώδικα JavaScript στο πλαίσιο του developer.yahoo. com subdomain.

Αυτός ο πρόσθετος κώδικας JavaScript διαβάζει το cookie περιόδου λειτουργίας του χρήστη του Yahoo και το μεταφορτώνει σε έναν ιστότοπο που ελέγχεται από τους εισβολείς. Το cookie χρησιμοποιείται στη συνέχεια για πρόσβαση στον λογαριασμό ηλεκτρονικού ταχυδρομείου του χρήστη και στέλνει το μήνυμα spam σε όλες τις επαφές του. Κατά κάποιον τρόπο, αυτό είναι ένα σκουλήκι ηλεκτρονικού ταχυδρομείου που υποστηρίζει το XSS.

Το ευάλωτο XSS που εκμεταλλεύεται είναι στην πραγματικότητα τοποθετημένο σε ένα στοιχείο WordPress που ονομάζεται SWFUpload και ήταν patched σε WordPress έκδοση 3.3.2 που κυκλοφόρησε τον Απρίλιο του 2012, Δήλωσαν οι ερευνητές του Bitdefender. Ωστόσο, ο ιστότοπος του ιστολογίου YDN φαίνεται να χρησιμοποιεί μια παλιά έκδοση του WordPress

Πώς να αποφύγετε το πρόβλημα

Μετά την ανακάλυψη της επίθεσης την Τετάρτη, οι ερευνητές του Bitdefender αναζητούσαν τη βάση δεδομένων ανεπιθύμητης αλληλογραφίας της εταιρείας και βρήκαν πολύ παρόμοια μηνύματα, δήλωσε ο Bogdan Botezatu, ανώτερος αναλυτής ηλεκτρονικής απειλής στο Bitdefender, την Πέμπτη μέσω ηλεκτρονικού ταχυδρομείου.

«Είναι εξαιρετικά δύσκολο να εκτιμήσεις το ποσοστό επιτυχίας μιας τέτοιας επίθεσης, επειδή δεν μπορεί να το δει κανείς στο δίκτυο των αισθητήρων», είπε. "Ωστόσο, εκτιμούμε ότι περίπου το ένα τοις εκατό των spam που έχουμε επεξεργαστεί τον τελευταίο μήνα προκαλείται από αυτό το συμβάν."

Η Bitdefender ανέφερε την ευπάθεια στο Yahoo την Τετάρτη, αλλά φαίνεται να είναι εκμεταλλεύσιμη την Πέμπτη, δήλωσε ο Botezatu. "Μερικοί από τους δοκιμαστικούς μας λογαριασμούς εξακολουθούν να στέλνουν αυτό το συγκεκριμένο είδος spam", δήλωσε.

Σε μια δήλωση που έστειλε αργότερα την Πέμπτη, η Yahoo είπε ότι είχε καλύψει την ευπάθεια

"Το Yahoo παίρνει την ασφάλεια και τα δεδομένα των χρηστών μας σοβαρά ", δήλωσε εκπρόσωπος της Yahoo μέσω ηλεκτρονικού ταχυδρομείου. "Πρόσφατα μάθαμε για μια ευπάθεια από μια εξωτερική εταιρία ασφάλειας και επιβεβαιώνουμε ότι έχουμε καθορίσει την ευπάθεια. Ενθαρρύνουμε τους ενδιαφερόμενους χρήστες να αλλάξουν τους κωδικούς τους σε έναν ισχυρό κωδικό πρόσβασης που συνδυάζει γράμματα, αριθμούς και σύμβολα και για να ενεργοποιήσετε τη δεύτερη πρόκληση σύνδεσης τις ρυθμίσεις του λογαριασμού τους. "

Το Botezatu συμβούλευσε τους χρήστες να αποφύγουν να κάνουν κλικ σε συνδέσμους που έλαβαν μέσω ηλεκτρονικού ταχυδρομείου, ειδικά αν συντομεύονται με bit.ly. Ο καθορισμός του αν ένας σύνδεσμος είναι κακόβουλος πριν το ανοίξει μπορεί να είναι δύσκολος με επιθέσεις όπως αυτές.

Στην περίπτωση αυτή, τα μηνύματα ήρθαν από ανθρώπους που οι χρήστες γνώριζαν - οι αποστολείς βρίσκονταν στις λίστες επαφών τους - και ο κακόβουλος ιστότοπος ήταν καλά κατασκευασμένο για να μοιάζει με την αξιοσέβαστη πύλη MSNBC, είπε. "Είναι ένας τύπος επίθεσης που περιμένουμε να είναι εξαιρετικά επιτυχημένος."

Το Botezatu ενημέρωσε τους χρήστες να αποφύγουν να κάνουν κλικ σε συνδέσμους που έλαβαν μέσω ηλεκτρονικού ταχυδρομείου, ειδικά εάν συντομεύονται με bit.ly. Ο προσδιορισμός του αν ένας σύνδεσμος είναι κακόβουλος πριν το ανοίξει μπορεί να είναι δύσκολος με επιθέσεις όπως αυτές.

Στην περίπτωση αυτή, τα μηνύματα προέρχονταν από ανθρώπους που οι χρήστες γνώριζαν - οι αποστολείς βρίσκονταν στις λίστες επαφών τους - και ο κακόβουλος ιστότοπος ήταν καλά που δημιουργήθηκε για να μοιάζει με την αξιοσέβαστη πύλη MSNBC, είπε. "Είναι ένας τύπος επίθεσης που περιμένουμε να είναι εξαιρετικά επιτυχημένος."

Ενημερώθηκε 31/1/2013 με σχόλια Yahoo