Er wordt melding gemaakt van een grote besmetting met malware via advertenties op Yahoo-websites. Het is een zogenaamde ‘drive-by-exploit’ wat betekent dat alleen al het laden van de advertenties tot besmetting leidt. Het is dus niet nodig om zelf op de betreffende advertenties te klikken.
Tijdstip van besmetting
De domeinnamen waarop de Magnitude-exploitkit actief is verwezen allemaal naar een IP adres dat waarschijnlijk in Nederland wordt gehost. De aanval is op vrijdag 3 januari opgemerkt maar de infecties hebben waarschijnlijk al 30 december plaatsgevonden of mogelijk al eerder. De Magnitude-exploitkit misbruikt beveiligingslekken in Windows, Java en Internet Explorer.
Europese landen getroffen
Wanneer gebruikers de Yahoo site bezoeken wordt er gebruik gemaakt van het domein ads.yahoo.com. Daar raakten deze gebruikers besmet met verschillende soorten malware waaronder Zeus, Andromeda, Dorkbot/Ngrbot, Advertisement clicking malware en Tinba/Zusy. Zeus en Tinba zijn ontwikkeld om geld van bankrekeningen te stelen. Met de clicking malware kan clickfraude worden gepleegd. Uit analyse blijkt tevens dat het vooral gaat om Roemeense, Britse en Franse internetgebruikers die getroffen zijn. Het is niet duidelijk wie er achter de aanval zit, maar Yahoo heeft inmiddels aangegeven ook een eigen onderzoek te zijn gestart.