image

'Advertenties op Yahoo verspreiden malware'

vrijdag 3 januari 2014, 12:55 door Redactie, 9 reacties
Laatst bijgewerkt: 03-01-2014, 13:13

Aanvallers zijn erin geslaagd om kwaadaardige advertenties op Yahoo te tonen, zo waarschuwt het Delftse beveiligingsbedrijf Fox-IT via Twitter. De malware bevindt zich in advertenties die via ads.yahoo.com op de webmailomgeving van Yahoo (mail.yahoo.com) worden vertoond.

Om wat voor malware het precies gaat en hoe die zich precies via de advertenties verspreidt is nog onbekend. Het is echter niet de eerste keer dat er via advertenties op Yahoo malware wordt verspreid. In mei vorig jaar werd Yahoo Mail nog enige tijd door Google geblokkeerd, omdat er advertenties werden getoond die bezoekers met malware probeerden te infecteren.

Update 13:13

De kwaadaardige advertenties wijzen naar de Magnitude exploitkit. Deze exploitkit maakt misbruik van beveiligingslekken in Windows, Internet Explorer en Java. Gebruikers van wie alle software up-to-date is zouden geen risico lopen.

Reacties (9)
03-01-2014, 13:04 door [Account Verwijderd] - Bijgewerkt: 03-01-2014, 13:33
[Verwijderd]
03-01-2014, 14:02 door Killjoy
En daarom o.a. gebruik ik Adblock + en zal daar niet mee stoppen.
03-01-2014, 14:24 door [Account Verwijderd] - Bijgewerkt: 03-01-2014, 14:26
[Verwijderd]
03-01-2014, 14:51 door Anoniem
Ter info

Van het NCSC

Vanmiddag werd bekend dat de advertentieserver van Yahoo enige tijd malware
(heeft) verspreid.

https://twitter.com/cryptoron/status/419068940405309441
https://twitter.com/markloman/status/419081512311848960

Het zou gaan om een exploit kit die diverse (bekende) kwetsbaarheden in browserplugins misbruikt. Er werden verschillende soorten malware aangeboden. Via Fox-IT en onze Duitse collega's hebben we informatie over de IP-adressen gekregen die door de exploit kit en redirect server werden gebruikt. Het gaat om de volgende IP-adressen:

192.133.137.100
192.133.137.59
193.169.245.78
03-01-2014, 15:11 door [Account Verwijderd] - Bijgewerkt: 03-01-2014, 15:22
[Verwijderd]
03-01-2014, 15:12 door Anoniem
Geen advertentie te zien!

Dat heb je als je een firewall rule hebt aangemaakt voor "ads.yahoo.com"
(bijkomend voordeel van een Safari plist file omzetten naar utf8/ascii code, dan zie je ineens welke trackers met info zijn opgeslagen, behoorlijk wat. ;-).

AdBlockPlus is in principe voldoende en in dit geval 'beter' dan noscript omdat je die voor een dergelijke mailfunctionaliteit deels dient toe te staan.
Request policy addon is ook heel effectief bij het weren van thrid party image-trackers/verbindingen (oplossing voor font tracking, daar moet ik nog eens iets mee).

Retorisch : over java en het toestaan van Applets hoeven we het niet meer te hebben toch?
Als YahooMail nooit vraagt om een JavaApplet te activeren, waarom zou je dat dan nu ineens wel doen?
03-01-2014, 17:41 door [Account Verwijderd]
[Verwijderd]
04-01-2014, 16:59 door Anoniem
Door Anoniem:
Als YahooMail nooit vraagt om een JavaApplet te activeren, waarom zou je dat dan nu ineens wel doen?

Gaat hier om een exploit kit. Een Java popup zal je hier dus nooit te zien krijgen. Als je een kwetsbare Java versie draait gebeurd dit allemaal op de achtergrond.
04-01-2014, 23:53 door Anoniem
Door Anoniem:
Door Anoniem:
Als YahooMail nooit vraagt om een JavaApplet te activeren, waarom zou je dat dan nu ineens wel doen?

Gaat hier om een exploit kit. Een Java popup zal je hier dus nooit te zien krijgen. Als je een kwetsbare Java versie draait gebeurd dit allemaal op de achtergrond.

Ja dat zou kunnen, ben toch geneigd te denken dat dat niet in alle gevallen zo is (twijfel bij 'nooit') omdat het afhankelijk is van diverse ('gunstige') combinatie factoren, namelijk : OS soort en versie-, browsersoort en versie-, java versie-, èn flashversie afhankelijk.
Daarbij, OS makers, browsermakers en ook Java distributeurs hebben toch al een tijdje een applet waarschuwing ingebouwd? Dan moet het om behoorlijk verouderde 'software'versies gaan, of niet?
Verder, als de onzichtbaarheid voor de makers uitgangspunt is verwacht ik daarbij dan een èn èn combinatie-voorwaarde van kwetsbare / niet geupdate software elementen, waarmee de succesfactor weer wat verkleind zou worden (wat een keuze is van de malware schrijvers, kwestie van je selectieparameters definieren, maar het kan natuurlijk).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.