Около недели назад, на сайте Yahoo были размещены рекламные блоки с ссылками на вредоносные сайты. Распространение вредоносного программного обеспечения было замечено Fox-IT, занимающимися информационной безопасностью. На данный момент Yahoo удалила вредоносную рекламу.
Вредоносная реклама представляла собой iframes, которые хостились на:
blistartoncom.org (192.133.137.59), зарегистрирован 1 Января 2014
slaptonitkons.net (192.133.137.100), зарегистрирован 1 Января 2014
original-filmsonline.com (192.133.137.63)
funnyboobsonline.org (192.133.137.247)
yagerass.org (192.133.137.56)
Эти сайты, в свою очередь управлялись с голландского IP 193.169.245.78
При посещении рекламы, пользователи перенаправлялись на зараженные сайты, которые использовали уязвимости в Java и устанавливали вирусы на компьютеры пользователей. Список вредоносных программ составлял: ZeuS, Andromeda, Dorkbot/Ngrbot, Tinba/Zusy, Necurs.
При этом эксплойты загружались со скоростью 300 тысяч установок в час. По данным экспертов, наибольшая доля заражений пришлась на Румынию (24%), Великобританию (23%) и Францию (20%).
Один из способов защиты от эксплойтов — это блокировка 192.133.137/24 и 193.169.245/24 IP диапазонов.
На мой взгляд у Yahoo заняло непростительно долго устранение проблемы.
Автор: elmanr