Yahoo ha sufrido un nuevo ataque con una dirección de correo electrónico que se hace con el control de las cuentas de las víctimas. según han podido descubrir en Bitdefender Labs que ya ha advertido a los usuarios sobre los peligros de clicar en links con spam.
El secuestro comienza con un mensaje de spam que incluye un enlace corto a una página aparentemente inofensiva, del fiable canal de noticias MSNBC (hxxp://www.msnbc.msn.com.im9.net [removed]). Fijándose detenidamente en el enlace, se ve que no es parte de MSNBC, sino un dominio compuesto de subdominios en hxxp://com-im9.net.
El dominio se registró en Ucrania el 27 de enero y se alojaba en un centro de datos en Nicosia, Chipre. Esta página contiene una pieza de JavaScript malicioso, disfrazado de la popular biblioteca Lightbox, que llevará a cabo el ataque en la segunda etapa.
La segunda etapa del ataque se centra en el blog Yahoo Developers (developers.yahoo.com) que utiliza convenientemente una versión buggy de WordPress. Además se aprovechan de la plataforma de WordPress con http://developer.yahoo.com/blogs/ydn/wp-includes/js/swfupload/swfupload.swf. Que tiene un fallo de seguridad conocida como CVE-2012-3414 (ha sido parcheada con la versión 3.3.2 de WordPress)
Como está localizado sobre un subdominio de la web de yahoo.com, todos los atacantes tienen que activar el Bug y pasar un comando que roba las cookies, y después enviarlo a “casa”.
En ese momento, los atacantes tienen pleno acceso a la lista de contactos de la víctima hasta que la sesión actual expire o el usuario cierre la sesión. Los ladrones o enviarán spam a todos los contactos de las listas robadas (que pueden incluir amigos, familia, contactos profesionales, profesores) o utilizarán estos contactos para enviar mensajes de correo electrónico con spam o malware en nombre de los ladrones. Los ladrones están interesados en conseguir los correos electrónicos para enviar más spam.
Como los ladrones no pueden registrar cuentas automáticamente con proveedores de correo como Yahoo, Google, Hotmail y similares, ya que las personas que quieran registrar una nueva cuenta tienen que rellenar un comando CAPTCHA, para iniciar la sesión; robar cuentas es una manera rentable para automatizar los ataques, además de permitirles obtener más contactos y por lo tanto más víctimas.
Para evitar estos ataques Bitdefender recomienda salir de la cuenta de correo electrónico una vez que se haya terminado de leer y mandar los mensajes. Además de no hacer clic en los enlaces de los correos electrónico con spam y mantener el antivirus y software actualizado.
Todos los nombres de productos y compañías mencionados son sólo con fines de identificación, son propiedad de y pueden ser marcas registradas de, sus respectivos propietarios.