Zeci de mii de utilizatori Yahoo din Romania atacati cibernetic

Compania Fox-IT datorita serviciului de monitorizare activitatii malware a descoperit ca unii clienti din Europa sunt virusati dupa ce au vizitat site-ul yahoo.com (versiunea europeana). S-a constatat ca cauza infectiei au devenit bannere ads.yahoo.com. Acestea contineau scripturi, care descarcau continut de pe urmatoare domenii:




  • blistartoncom.org (192.133.137.59)
  • slaptonitkons.net (192.133.137.100)
  • original-filmsonline.com (192.133.137.63)
  • funnyboobsonline.org (192.133.137.247)
  • yagerass.org (192.133.137.56)

Metoda veche de a infecta prin bannere a functionat perfect. Deschizand bannerul infectat utilizatorul era directionat catre o pagina cu un set de exploituri Magnitude, inregistrat pe unul din subdomeniile boxsdiscussing.net, crisisreverse.net, limitingbeyond.net si altele. Toate aceste site-uri au fost situate pe o singura adresa IP 193.169.245.78. Probabil este o adresa olandeza.

Setul de exploite folosea vulnerabilitatile din Java si instala pe calculatoarele victimelor un buchet intreg de programe malware.

  • ZeuS
  • Andromeda
  • Dorkbot/Ngrbot
  • Program pentru clicuri pe anunturi
  • Tinba/Zusy
  • Necurs

Prima infectie a avut loc in data de 30 decembrie 2013, iar compania Yahoo a eliminat bannere in seara zilei de 3 ianuarie 2014. Potrivit estimarilor, audienta bannerelor malware este de aproximativ 300 de mii de persoane pe ora, iar procentul celor infectati – aproximativ 9%. Cel mai mare numar de utilizatori infectati sunt din Romania, Marea Britanie si Franta.

 Zeci de mii de utilizatori Yahoo din Romania atacati cibernetic

Ti-a placut acest articol?

Share This Post

Post Comment