'Advertenties op Yahoo verspreiden malware'
Aanvallers zijn erin geslaagd om kwaadaardige advertenties op Yahoo te tonen, zo waarschuwt het Delftse beveiligingsbedrijf Fox-IT via Twitter. De malware bevindt zich in advertenties die via ads.yahoo.com op de webmailomgeving van Yahoo (mail.yahoo.com) worden vertoond.
Om wat voor malware het precies gaat en hoe die zich precies via de advertenties verspreidt is nog onbekend. Het is echter niet de eerste keer dat er via advertenties op Yahoo malware wordt verspreid. In mei vorig jaar werd Yahoo Mail nog enige tijd door Google geblokkeerd, omdat er advertenties werden getoond die bezoekers met malware probeerden te infecteren.
Update 13:13
De kwaadaardige advertenties wijzen naar de Magnitude exploitkit. Deze exploitkit maakt misbruik van beveiligingslekken in Windows, Internet Explorer en Java. Gebruikers van wie alle software up-to-date is zouden geen risico lopen.
Van het NCSC
Vanmiddag werd bekend dat de advertentieserver van Yahoo enige tijd malware
(heeft) verspreid.
https://twitter.com/cryptoron/status/419068940405309441
https://twitter.com/markloman/status/419081512311848960
Het zou gaan om een exploit kit die diverse (bekende) kwetsbaarheden in browserplugins misbruikt. Er werden verschillende soorten malware aangeboden. Via Fox-IT en onze Duitse collega's hebben we informatie over de IP-adressen gekregen die door de exploit kit en redirect server werden gebruikt. Het gaat om de volgende IP-adressen:
192.133.137.100
192.133.137.59
193.169.245.78
Dat heb je als je een firewall rule hebt aangemaakt voor "ads.yahoo.com"
(bijkomend voordeel van een Safari plist file omzetten naar utf8/ascii code, dan zie je ineens welke trackers met info zijn opgeslagen, behoorlijk wat. ;-).
AdBlockPlus is in principe voldoende en in dit geval 'beter' dan noscript omdat je die voor een dergelijke mailfunctionaliteit deels dient toe te staan.
Request policy addon is ook heel effectief bij het weren van thrid party image-trackers/verbindingen (oplossing voor font tracking, daar moet ik nog eens iets mee).
Retorisch : over java en het toestaan van Applets hoeven we het niet meer te hebben toch?
Als YahooMail nooit vraagt om een JavaApplet te activeren, waarom zou je dat dan nu ineens wel doen?
Als YahooMail nooit vraagt om een JavaApplet te activeren, waarom zou je dat dan nu ineens wel doen?
Gaat hier om een exploit kit. Een Java popup zal je hier dus nooit te zien krijgen. Als je een kwetsbare Java versie draait gebeurd dit allemaal op de achtergrond.
Als YahooMail nooit vraagt om een JavaApplet te activeren, waarom zou je dat dan nu ineens wel doen?
Gaat hier om een exploit kit. Een Java popup zal je hier dus nooit te zien krijgen. Als je een kwetsbare Java versie draait gebeurd dit allemaal op de achtergrond.
Ja dat zou kunnen, ben toch geneigd te denken dat dat niet in alle gevallen zo is (twijfel bij 'nooit') omdat het afhankelijk is van diverse ('gunstige') combinatie factoren, namelijk : OS soort en versie-, browsersoort en versie-, java versie-, èn flashversie afhankelijk.
Daarbij, OS makers, browsermakers en ook Java distributeurs hebben toch al een tijdje een applet waarschuwing ingebouwd? Dan moet het om behoorlijk verouderde 'software'versies gaan, of niet?
Verder, als de onzichtbaarheid voor de makers uitgangspunt is verwacht ik daarbij dan een èn èn combinatie-voorwaarde van kwetsbare / niet geupdate software elementen, waarmee de succesfactor weer wat verkleind zou worden (wat een keuze is van de malware schrijvers, kwestie van je selectieparameters definieren, maar het kan natuurlijk).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
