Yahoo sirviendo malware nadie se libra de la amenaza
Hace unos días se daba a conocer la noticia de que se estaba sirviendo malware cuando se visitaba la web de Yahoo, la noticia se dio a conocer, ya que una firma de seguridad muy conocida (Fox-IT) detecto en uno de los clientes a los que tiene ofertados sus servicios de seguridad que habían quedado infectados al visitar la web de Yahoo sirviendo malware nadie se libra de la amenaza.
Yahoo sirviendo malware nadie se libra de la amenaza ¿De dónde venía el malware?
Pues el drive-by no provenía de la web de Yahoo en sí, sino del subdominio ads.yahoo.com.
Vamos a ver una reproducción de las peticiones en la infección:
Cuando los usuarios visitaban la web de Yahoo y recibían los anuncios de ads.yahoo.com eran redirigidos hacía:
- blistartoncom.org (192.133.137.59), registered on 1 Jan 2014 - Está caído
- slaptonitkons.net (192.133.137.100), registered on 1 Jan 2014 - Está caído
- original-filmsonline.com (192.133.137.63) - Está caído
- funnyboobsonline.org (192.133.137.247) - Está caído
- yagerass.org (192.133.137.56) - Está caído
He comprobado mediante varias bases de datos de PassiveDNS de ver si esos dominios habían sido utilizados antes.
Cuando se visitaba alguno de estos sitios, los usuarios llegaban hasta un Exploit Kit concretamente "Magnitude Exploit Kit".
Exploits usados
Los exploits usados por Magnitude Exploit Kit:
- CVE-2013-2551 (IE VML)
- CVE-2012-0507 (Java Atomic)
- CVE-2013-2471 (Java Raster)
- CVE-2011-3402 (EOT86/EOT64)
Vía redirección HTTP los usuarios eran redirigidos aleatoriamente hacia:
- boxsdiscussing.net - Inaccesible
- crisisreverse.net - Inaccesible
- limitingbeyond.net - Inaccesible
- y otros.
El Exploit kit "dropeaba" las siguientes piezas de malware:
- ZeuS
- Andromeda
- Dorkbot/Ngrbot
- Advertisement clicking malware
- Tinba/Zusy
- Necurs
El esquema de infección es
El equipo de Fox-IT ha echo un gráfico de infección catalogado por regiones.
Parece que Yahoo ya ha atajado el problema y viendo cuál ha sido el vector de entrada para que ads.yahoo.com redirigiera usuarios y así evitar Yahoo sirviendo malware, nadie se libra de la amenaza
También puede ser de tu interés - http://dragonjar.org/dispositivos-android-como-herramientas-para-test-de-penetracion.xhtml
Referencia:
[+] https://blog.fox-it.com/2014/01/03/malicious-advertisements-served-via-yahoo/