ANTICHAT — форум по информационной безопасности, OSINT и технологиям

При посещении порталов Yahoo пользователи могли лишиться своих файлов на ПК и стать жертвами вымогателей, сообщает PCWorld.

В связи с этим компания Yahoo заявила, что удалила из своих рекламных сетей вредоносный код. Однако он оставался незамеченным на протяжении как минимум шести дней. Проблема была обнаружена исследователями из Malwarebytes.

Зловреды были детектированы в рекламной сети Yahoo (ads.yahoo.com), которая демонстрировала объявления на сайтах о финансах, играх, новостных порталах и на Yahoo.com. Злоумышленники использовали malvertising – рекламные объявления выглядели как самые обычные, однако при переходе по ним пользователь рисковал заразить устройство. Браузер на ПК пользователя осуществлял перенаправление на другой сайт, где и совершалась атака.

По словам исследователей, на компьютеры посетителей Yahoo устанавливались программы-вымогатели, которые зашифровывали файлы на девайсе и требовали от людей заплатить выкуп за их расшифровку.

Это уже не первый подобный случай, когда страдают пользователи Yahoo. Например, в прошлом году была обнаружена крупномасштабная вредоносная рекламная кампания, в которую были вовлечены ресурсы Yahoo, Match.com, 9GAG и AOL. Через эти ресурсы распространялся обновленный шифровальщик CryptoWall 2.0, который раздавался пользователям с помощью эксплойт-паков через рекламные баннеры.

Вредоносное ПО внедрялось в легитимные рекламные баннеры на официальных сайтах и попадало на компьютер пользователя через скрытую загрузку. Тогда не было найдено никаких видимых следов компрометации ресурсов. Такого рода атаки сложно выявить, поскольку баннеры на сайтах транслируются с помощью многочисленных рекламных сетей. Заражение CryptoWall 2.0 происходит при участии Adobe Flash и набора эксплойтов FlashPack. После установки зловред шифрует содержимое жесткого диска пользователя и требует выкуп за ключ для расшифровки.