La compañía de seguridad Bitdefender, recientemente ha alertado sobre un nuevo hackeo a Yahoo! que mediante una dirección de correo electrónico se hacía con el control de las cuentas de correo de las víctimas. Todo empieza con un mensaje de spam que incluye un enlace a una página del canal de noticias MSNBC. Pero si nos fijamos bien, vemos que es un dominio compuesto por subdominios en hxxp://com-im9.net.

Este dominio está registrado en Ucrania el 27 de enero y se alojaba en un centro de datos de Chipre. En concreto, dicha página web contiene JavaScript malicioso disfrazado de la biblioteca Lightbox, quien se encarga de la segunda parte del ataque.

En esta segunda etapa del ataque, la cual está centrada en el blog de Yahoo! Developers, el cual utiliza una versión buggy de WordPress, con un fallo conocido como CVE-2012-3414, parcheado con la versión 3.3.2 de WordPress. Al estar alojado en un subdominio de la web yahoo.com, los atacantes deben activar el bug y pasar un comando que roba las cookies.

Es aquí cuando los atacantes tienen libre acceso a la lista de contactos de sus víctimas hasta que la sesión actual expire o el usuario cierre sesión por su cuenta. Los atacantes podrán enviar spam a todos los contactos de las listas robadas o utilizarán dichos contactos para enviar spam o malware en nombre de los ladrones.

Los ladrones no pueden registrar cuentas de manera automática con proveedores como Google, Hotmail o Yahoo!, ya que se tiene que rellenar un comando captcha para iniciar el proceso y poder iniciar sesión.

Si lo que queremos es evitar este tipo de ataques, lo que tenemos que hacer es salir de la cuenta de correo electrónico cuando acabemos de leer y mandar mensajes. Tampoco deberíamos hacer clic en los enlaces de los correos electrónicos y mantener tanto el antivirus como nuestro software debidamente actualizado.