Ataque de correo electrónico explota vulnerabilidad en el sitio de Yahoo para secuestrar cuentas

Los hackers detrás de una campaña de ataque de correo electrónico recientemente detectada explotan una vulnerabilidad en un sitio web de Yahoo para secuestrar las cuentas de correo electrónico de los usuarios de Yahoo. utilícelos para correo no deseado, según investigadores de seguridad del proveedor de antivirus Bitdefender.

El ataque comienza cuando los usuarios reciben un correo electrónico no deseado con su nombre en la línea de asunto y un breve mensaje "revisa esta página" seguido por un bit.ly acortado enlazar. Al hacer clic en el enlace, los usuarios ingresan a un sitio web disfrazado como el sitio de noticias de MSNBC que contiene un artículo sobre cómo ganar dinero mientras trabajan desde su casa, informaron los investigadores de Bitdefender en una publicación de blog.

A primera vista, esto no parece diferente de otros sitios de estafas de trabajo desde el hogar. Sin embargo, en el fondo, un fragmento de código JavaScript explota una vulnerabilidad de scripts entre sitios (XSS) en el sitio de blog Yahoo Developer Network (YDN) para robar la cookie de sesión de Yahoo del visitante.

[Más información: cómo eliminar malware de su PC con Windows]

Cómo funciona

Las cookies de sesión son cadenas de texto únicas almacenadas por los sitios web dentro de los navegadores para recordar a los usuarios que han iniciado sesión hasta que se desconectan. Los navegadores web usan un mecanismo de seguridad llamado política del mismo origen para evitar que los sitios web abiertos en diferentes pestañas accedan a los recursos de los demás, como las cookies de sesión.

La política de mismo origen generalmente se aplica por dominio. Por ejemplo, google.com no puede acceder a las cookies de sesión de yahoo.com aunque el usuario puede haber iniciado sesión en ambos sitios web al mismo tiempo en el mismo navegador. Sin embargo, según la configuración de las cookies, los subdominios pueden acceder a las cookies de sesión establecidas por sus dominios principales.

Este parece ser el caso de Yahoo, donde el usuario permanece conectado independientemente del subdominio Yahoo que visite, incluido developer.yahoo. com.

El código falso de JavaScript cargado desde el falso sitio web de MSNBC obliga al navegador del visitante a llamar a developer.yahoo.com con una URL específicamente diseñada que explota la vulnerabilidad XSS y ejecuta código JavaScript adicional en el contexto de developer.yahoo. subdominio com.

Este código JavaScript adicional lee la cookie de sesión del usuario de Yahoo y la carga en un sitio web controlado por los atacantes. La cookie se utiliza para acceder a la cuenta de correo electrónico del usuario y enviar el correo electrónico no deseado a todos sus contactos. En cierto sentido, se trata de un gusano de correo electrónico auto propagado alimentado por XSS.

La vulnerabilidad XSS explotada se encuentra realmente en un componente de WordPress llamado SWFUpload y fue parcheado en la versión 3.3.2 de WordPress que se lanzó en abril de 2012, el Los investigadores de Bitdefender dijeron. Sin embargo, el sitio YDN Blog parece estar usando una versión obsoleta de WordPress.

Cómo evitar problemas

Después de descubrir el ataque el miércoles, los investigadores de Bitdefender buscaron en la base de datos de spam de la compañía y encontraron mensajes muy similares que datan de casi un "Es extremadamente difícil estimar la tasa de éxito de tal ataque porque no se puede ver en la red de sensores", dijo Bogdan Botezatu, analista senior de e-sports en Bitdefender, el jueves por correo electrónico. dijo. "Sin embargo, estimamos que aproximadamente un uno por ciento del spam que hemos procesado en el último mes es causado por este incidente".

Bitdefender informó la vulnerabilidad a Yahoo el miércoles, pero aún parecía ser explotable el jueves, dijo Botezatu.. "Algunas de nuestras cuentas de prueba siguen enviando este tipo específico de correo no deseado", dijo.

En un comunicado enviado más tarde el jueves, Yahoo dijo que había corregido la vulnerabilidad.

"Yahoo toma seguridad y los datos de nuestros usuarios" en serio ", dijo un representante de Yahoo por correo electrónico. "Recientemente nos enteramos de una vulnerabilidad de una empresa de seguridad externa y confirmamos que hemos solucionado la vulnerabilidad. Alentamos a los usuarios preocupados a cambiar sus contraseñas por una contraseña segura que combine letras, números y símbolos, y para habilitar el segundo desafío de inicio de sesión en la configuración de su cuenta. "

Botezatu aconsejó a los usuarios que eviten hacer clic en los enlaces recibidos por correo electrónico, especialmente si se acortan con bit.ly. Determinar si un enlace es malicioso antes de abrirlo puede ser difícil con ataques como estos, dijo.

En este caso, los mensajes provenían de personas que los usuarios conocían (los remitentes estaban en sus listas de contactos) y el sitio malicioso. fue bien diseñado para parecerse al respetable portal MSNBC, dijo. "Es un tipo de ataque que esperamos que tenga mucho éxito".

Botezatu aconsejó a los usuarios evitar hacer clic en los enlaces recibidos por correo electrónico, especialmente si se acortan con bit.ly. Determinar si un enlace es malicioso antes de abrirlo puede ser difícil con ataques como estos, dijo.

En este caso, los mensajes procedían de personas que los usuarios conocían (los remitentes estaban en sus listas de contactos) y el sitio malicioso estaba bien. "hecho a mano para parecerse al respetable portal de MSNBC", dijo. "Es un tipo de ataque que esperamos que tenga mucho éxito".

Actualizado el 31/1/2013 con comentarios de Yahoo