Serangan email mengeksploitasi kerentanan di situs Yahoo untuk membajak akun

Peretas di balik kampanye serangan email yang baru-baru ini terdeteksi mengeksploitasi kerentanan di situs web Yahoo untuk membajak akun email pengguna Yahoo dan menggunakannya untuk spam, menurut peneliti keamanan dari vendor antivirus Bitdefender.

Serangan dimulai dengan pengguna menerima email spam dengan nama mereka di baris subjek dan pesan singkat "lihat halaman ini" diikuti dengan bit.ly disingkat link. Mengeklik tautan membawa pengguna ke situs web yang menyamar sebagai situs berita MSNBC yang berisi artikel tentang cara menghasilkan uang ketika bekerja dari rumah, para peneliti Bitdefender mengatakan pada hari Rabu di pos blog.

Pada pandangan pertama, ini tampaknya tidak berbeda dari situs scam kerja-dari-rumah lainnya. Namun, di latar belakang, sepotong kode JavaScript mengeksploitasi kerentanan cross-site scripting (XSS) di situs web Yahoo Developer Network (YDN) untuk mencuri cookie sesi Yahoo pengunjung.

[Bacaan lebih lanjut: Cara hapus malware dari PC Windows Anda]

Cara kerjanya

Cookie sesi adalah untaian teks unik yang disimpan oleh situs web di dalam browser untuk mengingat pengguna yang masuk ke dalam sampai mereka keluar. Peramban web menggunakan mekanisme keamanan yang disebut kebijakan asal-sama untuk mencegah situs web dibuka di tab yang berbeda dari mengakses sumber daya masing-masing, seperti cookie sesi.

Kebijakan yang berasal dari sumber yang sama biasanya diberlakukan per domain. Misalnya, google.com tidak dapat mengakses cookie sesi untuk yahoo.com meskipun pengguna mungkin masuk ke kedua situs web pada saat yang sama di browser yang sama. Namun, tergantung pada pengaturan cookie, subdomain dapat mengakses cookie sesi yang ditetapkan oleh domain induknya.

Ini tampaknya menjadi kasus dengan Yahoo, di mana pengguna tetap masuk terlepas dari apa subdomain Yahoo yang mereka kunjungi, termasuk developer.yahoo. com.

Kode JavaScript nakal yang dimuat dari situs web MSNBC palsu memaksa browser pengunjung untuk memanggil developer.yahoo.com dengan URL yang dibuat khusus yang mengeksploitasi kerentanan XSS dan mengeksekusi kode JavaScript tambahan dalam konteks developer.yahoo. com subdomain.

Kode JavaScript tambahan ini membaca cookie sesi pengguna Yahoo dan mengunggahnya ke situs web yang dikontrol oleh penyerang. Cookie kemudian digunakan untuk mengakses akun email pengguna dan mengirim email spam ke semua kontak mereka. Di satu sisi, ini adalah cacing email yang dikembangkan sendiri, XSS.

Kerentanan XSS yang dieksploitasi sebenarnya terletak di komponen WordPress yang disebut SWFUpload dan ditambal di WordPress versi 3.3.2 yang dirilis pada bulan April 2012, Peneliti Bitdefender mengatakan. Namun, situs Blog YDN tampaknya menggunakan versi WordPress yang sudah kedaluwarsa.

Bagaimana menghindari masalah

Setelah menemukan serangan pada hari Rabu, para peneliti Bitdefender mencari basis data spam perusahaan dan menemukan pesan yang sangat mirip yang dating kembali hampir bulan, kata Bogdan Botezatu, analis e-ancaman senior di Bitdefender, Kamis melalui email.

"Sangat sulit untuk memperkirakan tingkat keberhasilan serangan semacam itu karena tidak dapat dilihat di jaringan sensor," dia kata. "Namun, kami memperkirakan bahwa sekitar satu persen dari spam yang kami proses dalam sebulan terakhir disebabkan oleh insiden ini."

Bitdefender melaporkan kerentanan terhadap Yahoo pada hari Rabu, tetapi masih tampak dapat dieksploitasi pada hari Kamis, Botezatu mengatakan. "Beberapa akun pengujian kami masih mengirim jenis khusus dari spam ini," katanya.

Dalam pernyataan yang dikirim kemudian pada hari Kamis, Yahoo mengatakan telah menambal kerentanan.

"Yahoo mengambil keamanan dan data pengguna kami serius, "kata perwakilan Yahoo melalui email. "Kami baru-baru ini mengetahui tentang kerentanan dari perusahaan keamanan eksternal dan memastikan bahwa kami telah memperbaiki kerentanan. Kami mendorong pengguna yang bersangkutan untuk mengubah kata sandi mereka menjadi kata sandi yang kuat yang menggabungkan huruf, angka, dan simbol, dan untuk mengaktifkan tantangan masuk kedua di pengaturan akun mereka. "

Botezatu menyarankan pengguna untuk menghindari mengklik tautan yang diterima melalui email, terutama jika mereka disingkat dengan bit.ly. Menentukan apakah sebuah tautan berbahaya sebelum membukanya bisa sulit dengan serangan seperti ini, katanya.

Dalam hal ini, pesan berasal dari orang-orang yang diketahui pengguna - pengirim berada di daftar kontak mereka - dan situs jahat dibuat dengan baik agar terlihat seperti portal MSNBC yang terhormat, katanya. "Ini adalah jenis serangan yang kami harapkan sangat sukses."

Botezatu menyarankan pengguna untuk menghindari mengklik tautan yang diterima melalui email, terutama jika mereka dipersingkat dengan bit.ly. Menentukan apakah tautan itu berbahaya sebelum membukanya bisa sulit dengan serangan seperti ini, katanya.

Dalam hal ini, pesan berasal dari orang-orang yang diketahui pengguna-pengirim berada di daftar kontak mereka-dan situs jahat itu baik-baik saja. -mencetak agar terlihat seperti portal MSNBC yang terhormat, katanya. "Ini adalah jenis serangan yang kami harapkan sangat sukses."

Diperbarui 31/01/2013 dengan komentar Yahoo