Yahoo!, l’attacco malware arriva dai banner pubblicitari

yahooL’operazione, partita dall’Olanda fra il 30 dicembre e almeno fino al 3 gennaio, era diretta in particolare al network europeo del gigante di Sunnyvale. Colpite soprattutto Gran Bretagna, Romania e Francia, l’Italia solo marginalmente. Coinvolti 300mila computer all’ora

Roma, 6 gennaio 2014 – Un attacco in piena regola. Il 2014 non poteva iniziare peggio per Yahoo!. Un problema del quale bisognerà capire meglio le origini. Dal 30 dicembre (ma secondo alcuni segnali forse anche dai giorni precedenti) e almeno fino al 3 gennaio scorso i siti del network internazionale di Sunnyvale con dominio yahoo.com, serviti dai server pubblicitari ads.yahoo.com, hanno pubblicato e proposto ai propri visitatori inserzioni infette. “Gli utenti che hanno visitato Yahoo.com hanno visualizzato alcuni banner pubblicitari infetti”, hanno riconosciuto dal quartier generale del gigante Web. Si parla quindi anche dei servizi di posta elettronica online e, secondo altre fonti, di Yahoo! Messenger. Questi annunci, in realtà, se cliccati hanno reindirizzato i navigatori verso siti malevoli realizzati ad hoc. Trappole che hanno installato automaticamente sulle loro macchine dei malware, programmi maligni in grado di compromettere il funzionamento dei computer, rubare informazioni come username e password per decine di servizi, mettere fuori uso gli antivirus o accedere a reti protette.

A rivelare l’attacco non è stata direttamente Yahoo!, che in seguito non ha potuto che confermare il pasticcio, ma una società di sicurezza informatica olandese con sede a Delft, la Fox-It. Secondo i numeri rilasciati dall’azienda in un post del proprio blog ufficiale, il meccanismo avrebbe interessato solo nella giornata di venerdì 3 gennaio ben 300mila utenti ogni ora per un totale di 27mila infezioni statisticamente possibili. Secondo un’altra società del settore dei Paesi Bassi, la Surfright, i computer coinvolti sarebbero almeno due milioni. I Paesi più colpiti, anche se non se ne capiscono esattamente le ragioni, sarebbero stati Romania, Gran Bretagna e Francia. Dalla falla, che avrebbe interessato in particolare i Pc dotati di versioni non aggiornate dei plugin Java, sarebbero immuni i Mac, gli utenti americani e asiatici così come chi naviga in mobilità. Un’operazione, insomma, tutta rivolta al pubblico europeo del colosso di internet guidato da Marissa Mayer.

“A Yahoo abbiamo molto a cuore la sicurezza e la riservatezza dei nostri utenti – ha dichiarato l’azienda in un paio di stringatissime note fra sabato e domenica scorsi – venerdì, sui nostri siti europei, abbiamo pubblicato alcune inserzioni che non rispondevano alle nostre linee guida editoriali, in particolare alcuni hanno diffuso dei malware. Li abbiamo rimossi rapidamente e continueremo a monitorare e bloccare ogni annuncio utilizzato per queste attività”. Nonostante le rassicurazioni, da Sunnyvale non sono arrivate ulteriori spiegazioni sull’inquietante attacco né istruzioni ai visitatori. La stessa società olandese che ha svelato il problema ha dichiarato di non avere idea di chi possa nascondersi dietro l’operazione anche se questa appare “finanziariamente sensata e sembra essere stata realizzata per servire altri soggetti. L’exploit kit sembra simile a quello usato in una breve infezione dell’ottobre scorso”.

Il meccanismo è chiaro: gli annunci risultavano reindirizzare a una serie di sottodomini sospetti ospitati tutti dallo stesso indirizzo IP localizzato proprio in Olanda. L'”expoit kit”, cioè il pacchetto automatizzato di file eseguibili maligni, installato sui computer degli ignari utenti era multiforme e utilizzava vari tipi di malware: da Zeus ad Andromeda passando per Dorkbot/Ngrbot, Tinba/Zusy, Necurs e altri. Mezza Europa coinvolta, dai tre Paesi citati prima fino alla Germania e alla stessa Italia, colpita solo marginalmente. In ogni caso, conviene fare una scansione col proprio antivirus o con i tanti disponibili gratuitamente online.

Simone Cosimi
Fonte: La Repubblica