Webmail van Yahoo verspreidt malware
De webmaildienst van Yahoo heeft afgelopen vrijdag via advertenties malware verspreidt. De advertenties verwezen Yahoo-gebruikers door naar een website waar zij werden besmet met een exploitkit. Dit is software die bekende gaten in software misbruikt. Alleen Europese gebruikers blijken doelwit te zijn geweest van de cyberaanval.
De aanval is ontdekt door het Nederlandse beveiligingsbedrijf Fox-IT, die zijn bevindingen in een blogpost beschrijft. Aanvallers wisten het domein ads.yahoo.com te besmetten met kwaadaardige software, waarna de e-maildienst van Yahoo malafide banners vertoonde. Yahoo meldt in een verklaring aan de media dat de malafide advertenties direct offline zijn gehaald zodra de cyberaanval werd opgemerkt.
Exploitkit
Yahoo-gebruikers die op de kwaadaardige banners hebben geklikt zijn doorverwezen naar een website waar een exploitkit is geïnstalleerd. Een exploitkit is een kwaadaardig softwareprogramma die allerlei bekende beveiligingsgaten in veelgebruikte software probeert te misbruiken. Vooral gebruikers die hun computer niet up-to-date houden lopen dan ook risico slachtoffer te zijn geworden van de cyberaanval. De hackers installeerden vervolgens een backdoor op alle besmette machines. Deze backdoor stelt de aanvallers in staat op een later moment eenvoudig verbinding te maken met de geïnfecteerde computer.
Daarnaast installeerden de aanvallers software waarmee de geïnfecteerde machines onderdeel kunnen worden gemaakt van een botnet. Een botnet is een verzameling van gehackte computers die door de beheerder kunnen worden ingezet om één taak uit te voeren. Een voorbeeld hiervan is een Distributed Denial of Service. Hierbij wordt vanaf een grote hoeveelheid machines gelijktijdig geprobeerd verbinding te leggen met een bepaalde server, waardoor deze server onbereikbaar wordt.
Clickfraude
Tot slot zijn de geïnfecteerde machines voorzien van speciale software waarmee zogeheten clickfraude kan worden gepleegd. Deze software stelt cybercriminelen in staat besmette machines in te zetten om op advertenties te klikken, wat geld oplevert. Door een grote hoeveelheid geïnfecteerde machines aan het werk te zetten kunnen aanvallers een flinke omzet genereren.
Alleen Europeanen blijken doelwit te zijn geweest van de cyberaanval. Vooral gebruikers uit Groot-Brittannië, Frankrijk en Roemenië zouden de kwaadaardige banners gepresenteerd hebben gekregen. Het is echter onduidelijk of de cyberaanvallers hiervoor bewust hebben gekozen en wat hun beweegredenen hierachter zijn.
WH
