E-mail explora vulnerabilidade no Yahoo para seqüestrar contas

Hackers por trás de uma campanha de e-mail recentemente detectada estão explorando uma vulnerabilidade em um site do Yahoo para seqüestrar contas de e-mail de usuários do Yahoo. use-os para spam, de acordo com pesquisadores de segurança do fornecedor de antivírus Bitdefender.

O ataque começa com os usuários recebendo um email de spam com o nome na linha de assunto e uma mensagem curta "check out this page" seguida por um bit.ly encurtado ligação. Clicando no link leva os usuários a um site disfarçado como o site de notícias MSNBC que contém um artigo sobre como ganhar dinheiro enquanto trabalhava em casa, os pesquisadores da Bitdefender disseram quarta-feira em um post.

À primeira vista, isso não parece diferente de outros sites fraudulentos de trabalho em casa. No entanto, em segundo plano, um código JavaScript explora uma vulnerabilidade de cross-site scripting (XSS) no site Blog do Yahoo Developer Network (YDN) para roubar o cookie de sessão do Yahoo.

[Leitura adicional: como remova o malware do seu PC Windows]

Como funciona

Os cookies de sessão são sequências de texto exclusivas armazenadas por sites dentro de navegadores para lembrar usuários conectados até que eles saiam. Os navegadores da Web usam um mecanismo de segurança chamado política de mesma origem para impedir que sites abertos em diferentes guias acessem os recursos uns dos outros, como cookies de sessão.

A política de mesma origem é geralmente aplicada por domínio. Por exemplo, o google.com não pode acessar os cookies de sessão do yahoo.com, embora o usuário possa estar conectado aos dois sites ao mesmo tempo no mesmo navegador. No entanto, dependendo das configurações do cookie, os subdomínios podem acessar cookies de sessão definidos pelos seus domínios pai

Este parece ser o caso do Yahoo, onde o usuário permanece logado, independentemente do subdomínio do Yahoo que visitar, incluindo o developer.yahoo. O código JavaScript invasor carregado do falso site MSNBC força o navegador do visitante a chamar o developer.yahoo.com com uma URL especificamente criada que explora a vulnerabilidade XSS e executa código JavaScript adicional no contexto do desenvolvedor.yahoo. com subdomínio.

Este código JavaScript adicional lê o cookie de sessão do usuário do Yahoo e o envia para um site controlado pelos invasores. O cookie é então usado para acessar a conta de e-mail do usuário e enviar o e-mail de spam para todos os seus contatos. De certo modo, este é um worm de e-mail auto-propagado e alimentado por XSS.

A vulnerabilidade explorada do XSS está localizada em um componente do WordPress chamado SWFUpload e foi corrigida no WordPress versão 3.3.2 que foi lançada em abril de 2012. Pesquisadores da Bitdefender disseram. No entanto, o site YDN Blog parece estar usando uma versão desatualizada do WordPress

Como evitar problemas

Depois de descobrir o ataque na quarta-feira, os pesquisadores da Bitdefender procuraram no banco de dados de spam da empresa e encontraram mensagens muito parecidas mês, disse Bogdan Botezatu, analista sênior de ameaças eletrônicas da Bitdefender, quinta-feira por e-mail.

"É extremamente difícil estimar a taxa de sucesso de tal ataque porque não pode ser visto na rede de sensores", ele disse. "No entanto, estimamos que cerca de 1% do spam que processamos no mês passado é causado por este incidente".

A Bitdefender reportou a vulnerabilidade ao Yahoo na quarta-feira, mas ainda parece ser explorável na quinta-feira, disse Botezatu.. "Algumas das nossas contas de teste ainda estão enviando este tipo específico de spam", disse ele.

Em um comunicado enviado na quinta-feira, o Yahoo afirmou que corrigiu a vulnerabilidade. a sério ", disse um representante do Yahoo por email. "Recentemente, soubemos de uma vulnerabilidade de uma empresa de segurança externa e confirmamos que consertamos a vulnerabilidade. Incentivamos os usuários interessados ​​a alterarem suas senhas para uma senha forte que combina letras, números e símbolos e ativar o segundo desafio de login em suas configurações de conta. "

Botezatu aconselhou os usuários a evitar clicar nos links recebidos via e-mail, especialmente se forem encurtados com bit.ly. Determinar se um link é malicioso antes de abri-lo pode ser difícil com ataques como esses, disse ele.

Nesse caso, as mensagens vieram de pessoas que os usuários conheciam - os remetentes estavam em suas listas de contatos - e o site malicioso foi bem trabalhado para se parecer com o respeitável portal MSNBC, disse ele. "É um tipo de ataque que esperamos ser altamente bem-sucedido."

Botezatu aconselhou os usuários a evitar clicar nos links recebidos via e-mail, especialmente se eles forem encurtados com bit.ly. Determinar se um link é malicioso antes de abri-lo pode ser difícil com ataques como esses, disse ele.

Nesse caso, as mensagens vieram de pessoas que os usuários conheciam - os remetentes estavam em suas listas de contatos - e o site malicioso estava bem -crafted para olhar como o respeitável portal MSNBC, disse ele. "É um tipo de ataque que esperamos ser altamente bem-sucedido."

Atualizado em 31/1/2013 com comentários do Yahoo