Gefährliche Display-Ads: Tausende Nutzer infizierten sich auf Yahoo.com mit Malware

Am 30. Dezember 2013 verschafften sich Hacker Zugang zu dem angeschlossenen Werbenetzwerk von „ads.yahoo.com“ und infizierten die Werbeanzeigen mit Malware, wie Fox-IT berichtet. Die Werbeanzeigen auf den europäischen Versionen von Yahoo.com verbreiteten somit die Schadsoftware an rund 27.000 Nutzer pro Stunde. Erst am 3. Januar 2014 konnte die Sicherheitslücke behoben werden.

Jeder User wurde während des Angriffes per HTTP-Redirect auf infizierte Subdomains geleitet, auf denen automatisch die Installation von Malware begann. Alle Domains liefen unter einer IP-Adresse: 193.169.245.78. Aufgrund dieses vollautomatischen Prozesses ist der Angriff über Yahoo.com mit „sehr gefährlich“ einzustufen.

Bekannte Malware wie ZeuS, Andromeda und Dorkbot kamen zum Einsatz

Das niederländische Sicherheitsunternehmen Fox-IT geht davon aus, dass rund 300.000 Besucher die Website stündlich besucht haben. Wenn man von der klassischen Infektionsrate von neun Prozent ausgeht, kommt man auf die oben genannte Zahl von 27.000 betroffenen Usern. Die Hacker nutzten bei dem Angriff bekannte Malware wie ZeuS, Andromeda und Dorkbot. Mittlerweile kann auf yahoo.com aber wieder sicher gesurft und alle Werbeanzeigen bedenkenlos angeklickt werden. Zurzeit ist noch unklar, wer für diesen Übergriff verantwortlich ist. „Die Angreifer sind finanziell motiviert und verkaufen ihre Dienste an andere Akteure“, schreibt Fox-IT. Möglich ist, dass hinter dem Angriff ein Bot-Netzwerk steckt.

Zwei Prozent der Infizierten kommen aus Deutschland

Vor allem Besucher aus Rumänien, Frankreich und Großbritannien waren betroffen – deutsche Besucher lediglich zu zwei Prozent. Komplett unbeschadet blieben Nutzer von Macs und Smartphones. Auch User aus Nordamerika, Asien und Lateinamerika blieben verschont.

Quelle: Fox-IT