Atak złośliwy Yahoo związany z większym schematem złośliwego oprogramowania

Pogłębione spojrzenie Cisco Systems na cyberatak, który zainfekował użytkowników Yahoo złośliwym oprogramowaniem, wydaje się wskazywać na związek między atakiem a podejrzanym schematem odpychania ruchu partnerskiego z korzeniami na Ukrainie.

Yahoo powiedział w niedzielę, że europejskim użytkownikom serwowano złośliwe reklamy lub „złośliwe reklamy” między 31 grudnia a ostatnią sobotą. Po kliknięciu reklamy przekierowują użytkowników na strony internetowe, które próbują zainstalować złośliwe oprogramowanie.

Cisco odkrył, że złośliwe strony internetowe, na które trafiły ofiary, są powiązane z setkami innych, które były wykorzystywane w trwających cyberatakach, powiedział Jaeson Schultz, inżynier badań nad zagrożeniami.

Schultz przyjrzał się domenom hostowanym w dużym bloku IP, do którego naukowcy zauważyli przekierowanie do ofiar Yahoo, znajdując 393 inne, które pasowały do ​​wzorca.

Wszystkie złośliwe domeny zaczynają się od szeregu liczb, zawierają od dwóch do sześciu tajemniczych etykiet poddomen i kończą się dwoma losowymi słowami w domenie drugiego poziomu, zgodnie z zapisem Schultza na blogu Cisco. Niektóre domeny były nadal aktywne od czwartku.

Domeny wydają się być częścią schematu mającego na celu kierowanie ludzi do złośliwego oprogramowania, powiedział Schultz. Grupa stojąca za oszustwem wydaje się infekować legalne witryny kodem, który przekierowuje ludzi do tych złośliwych domen.

Większość złośliwych domen przekierowuje do dwóch innych domen przetwarzających dane dla programu partnerskiego o nazwie Paid-To-Promote.net. Osoby, które zarejestrują się w programie, ponoszą opłaty za przeniesienie ruchu na inne strony internetowe.

Nie było jasne, czy ten program jest bezpośrednio powiązany z atakiem Yahoo, ale strona Paid-To-Promote.net sprawia wrażenie, że „wszystko idzie”, powiedział Schultz.

Dalsze badania dotyczące ruchu w programie partnerskim prześledziły go z powrotem do innych domen wykorzystywanych w podejrzanych celach, począwszy od 28 listopada. Niektóre domeny są hostowane na Ukrainie, a inne w Kanadzie.

Ktoś zaangażowany w ten program uderzył w złoto, w jakiś sposób wprowadzając złośliwe reklamy do sieci reklamowej Yahoo.

„Jeśli możesz dostać się do sieci reklamowych, szczególnie, to jest bardzo intratne”, powiedział Schultz w wywiadzie telefonicznym w piątek.

Duży ruch na stronie Yahoo oznacza, że ​​więcej osób widziało złośliwe reklamy, co oznaczało wyższy wskaźnik infekcji. Internetowe sieci reklamowe wyświetlają reklamy, aby upewnić się, że nie są złośliwe, ale czasami pojawiają się złe.

Złośliwe reklamy przekierowywały ludzi do domen hostujących zestaw exploitów „Magnitude”, który sprawdza, czy komputer ma luki w oprogramowaniu w środowisku aplikacji Java.

Jeśli Magnitude znalazła lukę, instaluje złośliwe oprogramowanie, takie jak ZeuS, Andromeda, Dorkbot i złośliwe oprogramowanie klikające reklamy, według holenderskiej firmy informatycznej Fox-IT, która pierwsza napisała o problemach Yahoo.

Wyślij wskazówki i komentarze dotyczące wiadomości na adres [email protected] Śledź mnie na Twitterze: @jeremy_kirk

Dołącz do społeczności Network World na Facebooku i LinkedIn, aby komentować najważniejsze tematy.