Múlt hét pénteken fedezte fel a ProtACT szolgáltatást üzemeltető holland Fox-IT, hogy számos ügyfelük rendszere malware-ekkel fertőződött meg, miután hálózatuk gépeiről a Yahoo oldalait böngészték. A Yahoo állítása szerint a támadás december 31-én kezdődött és hatása csak az európai felhasználókat érinti, a vállalat pedig azonnal eltávolította a kérdéses hirdetéseket, ahogy a Fox-IT jelezte feléjük a problémát.

A támadás során korábbi Java verziók sérülékenységeit használták ki, a rosszindulatú iframe-eket öt domainről hosztolták (blistartoncom.org, slaptonitkons.net, original-filmsonline.com, funnyboobsonline.org, yagerass.org), Maarten van Dantzig biztonsági szakértő szerint pedig a reklámokra rá sem kellett kattintani, már a megjelenítésük is elég volt ahhoz, hogy a gépet „eltérítsék” egy holland IP-címhez tartozó oldalcsoport egyikére, ahonnan aztán legalább féltucat malware (ZeuS, Andromeda, Dorkbot, Ngrbot, Tinba, Zusy, Necurs) települt az áldozat gépére.

Egy fertőzött reklám. Forrás: Surfright [+]

A Fox-IT becslése alapján óránként körülbelül 300 ezren keveredtek a fertőzött oldalakra, így a tipikus 9 százalékos fertőzési aránnyal számolva óránként mintegy 27 ezer gépre települhetett a malware csomag. A megfertőzött gépek közel háromnegyede Romániában, az Egyesült Királyságban és Franciaországban található. A szintén holland Surfright biztonságtechnikai cég egyik szakértője azt írta, hogy a Yahoo Mail és Yahoo Messenger szolgáltatásokban megjelenített reklámok is fertőzöttek voltak, és akinek nem a legfrissebb Java van a számítógépén, továbbá múlt héten használta az előbb említett Yahoo szolgáltatásokat, az jó eséllyel összeszedte az egyelőre ismeretlen elkövetőktől származó ajándékcsomagot.

Azok, akik nem használnak valamilyen állandó, a Java-alapú támadásokra is felkészített vírusvédelmet, és múlt héten jártak a Yahoo.comon vagy a Yahoo levelezőjének oldalán, esetleg a Messenger az egyik csevegőprogramjuk, nem árt, ha beszereznek egyet és lefuttatnak egy teljes ellenőrzést.