В начале января на главной странице интернет-поисковика Yahoo! обнаружили вредоносные рекламные объявления. Встроенный в них код за несколько дней превратил миллионы компьютеров в машины для получения электронной криптовалюты (биткоинов). Несмотря на то, что с момента обнаружения вредоносного ПО прошла уже неделя, представители Yahoo! так до сих пор и не объяснили, как зараженная реклама оказалась на сайте и почему ее обнаружили лишь на четвертые сутки.

О том, что страница Yahoo.com распространяет вредоносную программу, впервые сообщила специализирующаяся на борьбе с киберугрозами нидерландская компания Fox-IT. В посте, опубликованном на ее сайте 3 января, подробно описывался механизм, благодаря которому клик по рекламе на Yahoo! оборачивался присоединением пользовательского ПК к одному из ботнетов — сети, состоящей из зараженных компьютеров.

Суть механизма оказалась довольно простой. В html-коде рекламных объявлений специалисты Fox-IT обнаружили так называемый iframe — элемент, подгружающий в заданную область на сайте стороннюю страницу. Эта страница, в свою очередь, автоматически перенаправляла пользователей на IP-адрес, с которого запускалась установка на компьютере вредоносного ПО (клиента ботнета). После этого машину ничего не подозревающего пользователя можно было использовать практически как угодно. Срабатывала система только в том случае, если компьютер использовал устаревшую версию программного обеспечения Java, содержавшую нужную для загрузки вредоносного клиента уязвимость.

По данным Fox-IT, зараженная реклама появилась на главной странице поисковика еще 30 декабря. С тех пор ее жертвами ежечасно становились около 27 тысяч пользователей. В общей сложности, как пишет британская The Guardian, за четыре дня были затронуты около двух миллионов человек. Атаке подвергались в основном компьютеры, расположенные в Европе: почти три четверти всех заражений пришлось на Румынию, Великобританию и Францию. Источником же заражения, судя по всему, стали Нидерланды — именно в этой стране зарегистрирован IP-адрес, с которого устанавливалось вредоносное ПО.