Dem niederländischen IT-Sicherheitsunternehmen Fox-IT zufolge waren die Webseiten des US-Konzerns Yahoo tagelang mit Malware verseucht. Hackern war es offenbar gelungen, über Werbeanzeigen Schadsoftware zu verbreiten. Wer dahinter steckt und wie lange die verseuchten Werbemittel online waren, ist noch unklar. Yahoo gibt derweil Entwarnung.
Laut dem am vergangenen Freitag veröffentlichten Blog-Eintrag der niederländischen Firma Fox-IT habe es bereits seit dem 30. Dezember Anzeichen für eine Infektion der Yahoo-Webseiten mit Malware gegeben. Allerdings lägen Berichte vor, die den Beginn der Malware-Attacke sogar noch weiter zurückdatieren. Wie lange die Bedrohung für Nutzer durch in Werbeanzeigen versteckte Schadsoftware insgesamt angedauert hat, ist demnach nicht ganz klar. Fox-IT gibt an, am 3. Januar festgestellt zu haben, dass sich auf den Rechnern einer nicht näher bezifferte Anzahl an Personen Malware installierte, nachdem die Nutzer auf Yahoo.com und Unterseiten der Domain unterwegs gewesen waren.
Ein Yahoo-Sprecher bestätigte, dass am vergangenen Freitag verseuchte Anzeigen auf den europäischen Seiten des Internetkonzerns erschienen sind. Das Problem sei umgehend behoben worden, zudem habe die Weiterleitung auf schädliche Webseiten keine Nutzer betroffen, die die Yahoo-Seiten über ihr Mobile-Gerät oder einen Mac aufgerufen haben.
Schätzungsweise knapp 30.000 Infektionen pro Stunde
Wie eine Auswertung von Fox-IT veranschaulicht, stammen die meisten betroffenen Nutzer aus Rumänien, Großbritannien und Frankreich. Bei Auslieferung der Werbeanzeige – ein Klick auf die Werbung ist nicht notwendig gewesen - sind die Internetnutzer auf verschiedene Malware-verseuchte Seiten weitergeleitet worden. Warum gerade diese Länder so stark betroffen waren und welche Motivation hinter dem Angriff stecken könnte, ist unklar. Basierend auf geschätzten Besuchszahlen der betroffenen Yahoo-Seiten (zirka 300.000/Stunde) anhand einer Probe und der "typischen Infektionsrate" von neun Prozent, gehen die IT-Sicherheitsexperten davon aus, dass sich pro Stunde etwa 27.000 Nutzer Schadsoftware auf den Rechner geholt haben.
Wie Fox-IT im firmeneigenen Blog schreibt, wurden die iFrame-Werbemittel über den Ad-Server von Yahoo (ads.yahoo.com) ausgeliefert. Die Nutzer sind bei Einblendung der bösartigen Werbeanzeige via http-Redirect auf unterschiedliche Domains und anscheinend willkürliche Subdomains umgeleitet worden. Alle infizierten Webseiten waren auf ein- und dieselbe IP-Adresse aus den Niederlanden zurückzuführen. Das von den Hackern oder dem Hacker verwendete Exploit Kit durchforstete gezielt Schwachstellen in Java, um die Schadsoftware auf dem Rechner der betroffenen Nutzer zu installieren.
Quelle: Gulli
