Anfallet börjar med att användare får ett spam-e-postmeddelande med namnet på ämnesraden och ett kort meddelande om "kolla in den här sidan" följt av en lite förkortad länk. Genom att klicka på länken tar användare till en webbplats masquerading som MSNBC-nyhetssiten som innehåller en artikel om hur man tjänar pengar medan man arbetar hemifrån, sa Bitdefender-forskarna onsdagen i ett blogginlägg.

[Ytterligare läsning: Hur man ta bort skadlig kod från din Windows-dator]

Session-kakor öppna dörren

Session-kakor är unika textsträngar som lagras av webbplatser i webbläsare för att komma ihåg inloggade användare tills de loggar ut. Webbläsare använder en säkerhetsmekanism som heter samma policy för att förhindra att webbplatser öppnas i olika flikar från att få tillgång till varandras resurser, till exempel sessionskakor. (Se även hur du skyddar dig mot Supercookies. ")

Den politiken med samma ursprung verkställs vanligtvis per domän. Till exempel kan google.com inte komma åt sessionskakorna för yahoo.com trots att användaren kan vara inloggad i båda webbplatser beroende på cookie-inställningarna, men underdomäner kan komma åt sessionskakor som anges av deras moderdomener.

Detta verkar vara fallet med Yahoo, där användaren fortfarande är inloggad oavsett vad Yahoo-domänen besöker de, inklusive developer.yahoo.com.

Den skurkliga JavaScript-koden laddad från den falska MSNBC-webbplatsen tvingar besökarens webbläsare att ringa developer.yahoo.com med en specifikt utformad webbadress som utnyttjar XSS-sårbarheten och kör ytterligare JavaScript kod i samband med subdomänen developer.yahoo.com.

Denna extra JavaScript-kod läser Yahoo-användarens session cookie och laddar den upp på en webbplats som kontrolleras av angriparna. Kakan används sedan för att få tillgång till användningen rs e-postkonto och skicka spam-e-postmeddelandet till alla sina kontakter. I en mening är detta en XSS-driven, självförbredande e-postmask.

Den exploaterade XSS-sårbarheten finns faktiskt i en WordPress-komponent som heter SWFUpload och patched i WordPress version 3.3.2 som släpptes i april 2012, den Bitdefender forskare sa. YDN Blog-webbplatsen verkar emellertid använda en föråldrad version av WordPress.

Exploit rapporteras, squashed

Efter att ha upptäckt attacken på onsdagen sökte Bitdefender-forskarna företagets spamdatabas och hittade mycket liknande meddelanden som gick tillbaka nästan en månad, säger Bogdan Botezatu, en senior e-hotanalytiker vid Bitdefender, torsdag via email.

"Det är extremt svårt att uppskatta framgången för en sådan attack eftersom den inte kan ses i sensornätverket", säger han sa. "Vi uppskattar emellertid att ungefär en procent av spam som vi har behandlat under den senaste månaden orsakas av denna incident."

Bitdefender rapporterade sårbarheten för Yahoo på onsdagen, men det verkar fortfarande vara exploaterbart på torsdagen, sade Botezatu. "Några av våra testkonton skickar fortfarande denna specifika typ av skräppost," sa han.

I ett uttalande skickat senare på torsdagen sa Yahoo att det hade patchat sårbarheten.

"Yahoo tar säkerhet och våra användares data allvarligt ", sa en Yahoo-representant via e-post. "Vi har nyligen lärt oss av en sårbarhet från ett externt säkerhetsföretag och bekräftar att vi har fastställt sårbarheten. Vi uppmanar berörda användare att ändra sina lösenord till ett starkt lösenord som kombinerar bokstäver, siffror och symboler och för att aktivera den andra inloggningsutmaningen i deras kontoinställningar. "

Botezatu rekommenderade användarna att undvika att klicka på länkar mottagna via e-post, särskilt om de förkortas med bit.ly. Att bestämma om en länk är skadlig innan den öppnas kan vara svår med attacker som dessa, sade han.

I det här fallet kom meddelandena från personer som användarna visste - avsändarna var i deras kontaktlistor - och den skadliga webbplatsen var bra -crafted för att se ut som respektabel MSNBC portal, sa han. "Det är en typ av attack som vi förväntar oss att vara mycket framgångsrik."