При посещении порталов Yahoo пользователи могли лишиться своих файлов на ПК и стать жертвами вымогателей.
В связи с этим компания Yahoo заявила, что удалила из своих рекламных сетей вредоносный код, чтобы обеспечить безопасность в сети интернет. Однако он оставался незамеченным на протяжении как минимум шести дней. Проблема была обнаружена исследователями из Malwarebytes.
Зловреды были детектированы в рекламной сети Yahoo (ads.yahoo.com), которая демонстрировала объявления на сайтах о финансах, играх, новостных порталах и на Yahoo.com. Злоумышленники использовали malvertising — рекламные объявления выглядели как самые обычные, однако при переходе по ним пользователь рисковал заразить устройство.
Браузер на ПК пользователя осуществлял перенаправление на другой сайт, где и совершалась атака. По словам исследователей, на компьютеры посетителей Yahoo устанавливались программы-вымогатели, которые зашифровывали файлы на девайсе и требовали от людей заплатить выкуп за их расшифровку.
Это уже не первый подобный случай, когда страдают пользователи Yahoo. Например, в прошлом году была обнаружена крупномасштабная вредоносная рекламная кампания, в которую были вовлечены ресурсы Yahoo, Match.com, 9GAG и AOL. Через эти ресурсы распространялся обновленный шифровальщик CryptoWall 2.0, который раздавался пользователям с помощью эксплойт-паков через рекламные баннеры.
Вредоносное ПО внедрялось в легитимные рекламные баннеры на официальных сайтах и попадало на компьютер пользователя через скрытую загрузку. Тогда не было найдено никаких видимых следов компрометации ресурсов. Такого рода атаки сложно выявить, поскольку баннеры на сайтах транслируются с помощью многочисленных рекламных сетей. Заражение CryptoWall 2.0 происходит при участии Adobe Flash и набора эксплойтов FlashPack. После установки зловред шифрует содержимое жесткого диска пользователя и требует выкуп за ключ для расшифровки.
