W popularnego dostawcę poczty internetowej Yahoo został wymierzony nowy atak oparty na e-mailach, który przejmuje kontrolę nad kontami ofiar. W dniu dzisiejszym Bitdefender Labs odkrył trwającą kampanię i po raz kolejny ostrzega użytkowników o niebezpieczeństwach kryjących się w spamerskich linkach.

Uprowadzenie konta zaczyna się wiadomością spam z niepozornym, krótkim linkiem do pozornie nieszkodliwej sesji wiarygodnego kanału informacyjnego MSNBC (hxxp :/ / www.msnbc.msn.com-im9.net [usunięto]).

Bliższe spojrzenie na link pokazuje, że domena nie jest częścią MSNBC, ale podstępną domeną składającą się z subdomen na hxxp :/ / Com-im9.net.

Domena została zarejestrowana na Ukrainie 27 stycznia i jest hostowana w centrum danych w Nikozji na Cyprze. Strona ta zawiera kawałek złośliwego kodu JavaScript, ukrytego jako popularna biblioteka Lightbox, która przeprowadza atak w drugim etapie.

Zanim przejdziemy dalej, zobaczymy, czym jest kradzież plików cookie:
bezpieczeństwo w Internecie jest oparte na czymś, co my nazywamy polityką tego samego pochodzenia- to złożony mechanizm, który nie pozwoli stronie A uzyskać dostępu do zasobów(takich jak pliki cookie) strony B. Cookies to małe fragmenty tekstu utworzone, gdy użytkownik loguje się do systemu, a są one stosowane do (między innymi) zapamiętywania, że posiadacz konta przeszedł już uwierzytelnianie. W przeciwnym razie użytkownik musiałby logować się za każdym razem gdy chciałby przeczytać kolejnego e-maila lub przejść na inną stronę. Tak więc, w tym kontekście, jest oczywiste, że część kodu działającego na stronie A nie może ukraść ci plików cookie utworzonych przez stronę B. Jednakże subdomena strony B może uzyskać dostęp do zasobów strony B, i to jest to, co zrobił atakujący.

Drugi etap ataku jest skupiony na blogu Yahoo Developers (developers.yahoo.com), który łatwo wykorzystuje wadliwą wersję WordPressa. Przechodząc do meritum, hacker wykorzystuje SWF Uploader platformy WordPress ze strony http://developer.yahoo.com/blogs/ydn/wp-includes/js/swfupload/swfupload.swf. Ma on wadę zabezpieczeń zwaną luką CVE-2012-3414 (nawiasem mówiąc, luka została naprawiona od wersji WordPress 3.3.2).

Ponieważ znajduje się on na sub-domenie strony yahoo.com, jedyne co muszą zrobić napastnicy, to wywołać błąd i przekazać polecenie, które kradnie plik cookie, a następnie wysłać je „do domu”.
W tym momencie cyberprzestepcy mają pełny dostęp do listy kontaktów ofiary dopóki bieżąca sesja nie wygaśnie lub użytkownik się wyloguje.

Dlaczego twoje konto mailowe jest ważne dla oszustów?
Jeśli zastanawiasz się, dlaczego oszuści interesują się twoimi kontami e-mail i zbierają adresy e-mail twoich znajomych, odpowiedź jest prosta – aby wysłać więcej spamu.

Oszuści nie mogą automatycznie zarejestrować wiele kont automatycznie u dostawców poczty internetowej, takich jak Yahoo, Google, Hotmail, itp. ponieważ rejestrując się należy wypełnić kod captcha. To wymaga czasu i prawdziwych ludzie, którzy wpiszą znaki. To z kolei kosztuje. Kradzież aktywnych kont jest opłacalnym sposobem dla oszusta do automatyzacji ataków i za jednym zamachem pozwala mu zdobyć kolejne adresy i zyskać więcej ofiar.

Co należy więc zrobić?
Wyloguj się z konta e-mail za każdym razem gdy skończysz czytanie lub pisanie wiadomości e-mail.
Nigdy nie klikaj na linki w spamie .
Regularnie aktualizuj swój system i program antywirusowy.

Wszystkie nazwy produktów i firm w niniejszym dokumencie wymienione są wyłącznie w celach identyfikacji i są własnością i mogą być znakami towarowymi ich właścicieli.