Миллионы пользователей со всего мира ежедневно посещают портал YouTube, так что безопасность на нём имеет огромное значение. Компания Trend Micro, между тем, зафиксировала на нём некую подозрительную активность, жертвами которой за последние 30 дней могли оказаться более 100 тысяч пользователей. Львиная доля атак пришлась на США, где затронуто 113 тысяч пользователей.
Ведя мониторинг сайта на протяжении пары месяцев, Trend Micro обнаружила проведение вредоносных атак при помощи размещённой здесь рекламы. Сама по себе реклама вредоносного контента не содержит, однако неприятности могут случиться при нажатии на неё. Портал YouTube должен вести мониторинг рекламы; несмотря на это, ряд роликов перенаправляют пользователей на сторонние сайты, где содержится вредоносный код.
Trend Micro рассказывает, что для придания своей активности законного вида атакующие используют видоизменённую информацию DNS одного правительственного веб-сайта Польши. Сам сайт вредоносным кодом не затронут; вместо этого к данным DNS добавлены субдомены, ведущие на нужные злоумышленникам серверы. Трафик проходит через два сервера в Нидерландах и попадает на конечный сервер в США.
Жертвами кода являются Java, Internet Explorer и Flash. Регулярно устанавливающие обновления пользователи находятся вне зоны риска, так как Microsoft закрыла уязвимость в мае прошлого года. Остальным рекомендуется обновить эти продукты до последней версии. При атаках используется эксплоит Sweet Orange, задействующий следующие уязвимости: CVE-2013-2460 в Java, CVE-2013-2551 в Internet Explorer, CVE-2014-0515 - Flash и CVE-2014-0322 – Internet Explorer. В данном конкретном случае задействована по большей части уязвимость в Internet Explorer.