Yahoo sirviendo malware, nadie se libra de la amenaza…

Hace unos días se daba a conocer la noticia de que se estaba sirviendo malware cuando se visitaba la web de Yahoo.

La noticia se dió a conocer ya que una firma de seguridad muy conocida (Fox-IT) detecto en uno de los clientes a los que tiene ofertados sus servicios de seguridad que habían quedado infectados al visitar la web de Yahoo.

¿De donde venía el malware?

Pues el drive-by no provenía de la web de Yahoo en si, si no del subdominio ads.yahoo.com.

Vamos a ver una reproducción de las peticiones en la infección:

Peticiones

Cuando los usuarios visitaban la web de Yahoo y recibían los anuncios de ads.yahoo.com eran redirigidos hacia:

  • blistartoncom.org (192.133.137.59), registered on 1 Jan 2014 – Está caído
  • slaptonitkons.net (192.133.137.100), registered on 1 Jan 2014 – Está caído
  • original-filmsonline.com (192.133.137.63) – Está caído
  • funnyboobsonline.org (192.133.137.247) – Está caído
  • yagerass.org (192.133.137.56) – Está caído

He comprobado mediante varias bases de datos de PassiveDNS de ver si esos dominios habían sido utilizados antes.

Cuando se visitaba alguno de estos sitios, los usuarios  llegaban hasta un Exploit Kit concretamente “Magnitude Exploit Kit”.

Los exploits usados por Magnitude Exploit Kit:

  • CVE-2013-2551 (IE VML)
  • CVE-2012-0507 (Java Atomic)
  • CVE-2013-2471 (Java Raster)
  • CVE-2011-3402 (EOT86/EOT64)

Vía redirección HTTP los usuarios eran redirigidos aleatoriamente hacia:

  • boxsdiscussing.net – Inaccesible
  • crisisreverse.net – Inaccesible
  • limitingbeyond.net – Inaccesible
  • y otros.

El Exploit kit “dropeaba” las siguientes piezas de malware:

  • ZeuS
  • Andromeda
  • Dorkbot/Ngrbot
  • Advertisement clicking malware
  • Tinba/Zusy
  • Necurs

El esquema de infección es:

El equipo de Fox-IT ha echo un gráfico de infección catalogado por regiones.

 

Parece que Yahoo ya ha atajado el problema y viendo cual ha sido el vector de entrada para que ads.yahoo.com redirigiera usuarios.

Referencia:

[+]  http://blog.fox-it.com/2014/01/03/malicious-advertisements-served-via-yahoo/

 

 

 


Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: Seifreed

Formado en un equipo de lucha contra el fraude. He trabajado implementando la protección y prevención del fraude en varios clientes dentro del sector bancario nacional e internacioal. Mi trabajo consiste en encontrar soluciones a los problemas actuales y futuros de las entidades financieras respecto al código malicioso y el fraude. Especialidades como el análisis de malware, análisis forense, ingeniería inversa o tareas de hacking ético, forman parte de mis tareas diarias. Soy ponente ien eventos nacionales (No cON Name, Owasp, Navaja Negra) e internacionales (DraonJAR CON - Colombia). Soy profesor asociado en La Salle enseñando el curso MPWAR (Master in High Performance Web Programming) y el máster de ciberseguridad de La Salle (MCS. Master in Cybersecurity) Miembro de asociaciones y grupos de research como la HoneyNet Project, Owasp, SySsec etc.. También soy el organizador de las conferencias Hack&Beers en Barcelona

Compartir este Artículo

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES