O analiză mai profundă a Cisco Systems către cyberattack care a infectat utilizatorii Yahoo cu malware pare să arate o legătură între atac și o schemă suspectă de impingere a traficului afiliat cu rădăcini în Ucraina.
Yahoo a spus duminică că utilizatorii europeni au fost anunțați reclame rău intenționate sau „publicitate”, între 31 decembrie și sâmbătă trecută. Dacă faceți clic, reclamele au direcționat utilizatorii către site-urile web care au încercat să instaleze software rău intenționat.
Cisco a descoperit că site-urile web rău intenționate pe care victimele sunt deținute sunt legate de sute de alte persoane care au fost utilizate în cyberactack-urile aflate în continuă, a spus Jaeson Schultz, un inginer de cercetare a amenințărilor.
Schultz a analizat domeniile găzduite într-un bloc IP mare la care cercetătorii au observat că victimele Yahoo au fost redirecționate, găsind alte 393 care se potriveau cu un model.
Domeniile malițioase încep cu o serie de numere, conțin între două și șase etichete de subdomeniu criptic și se termină cu două cuvinte aleatorii din domeniul nivelului doi, potrivit scrierii lui Schultz pe blogul lui Cisco. Unele dintre domenii erau încă active de joi.
Schultz a spus că domeniile fac parte dintr-o schemă menită să direcționeze oamenii către malware. Grupul din spatele înșelătoriei pare să infecteze site-urile web legitime cu cod care redirecționează oamenii către acele domenii dăunătoare.
Majoritatea domeniilor dăunătoare se redirecționează către alte două domenii care procesează date pentru un program de afiliere numit Paid-To-Promote.net. Persoanelor care se înscriu la program sunt plătite taxe pentru a împinge traficul pe alte site-uri web.
Nu era clar dacă acel program este direct legat de atacul Yahoo, dar site-ul Paid-To-Promote.net dă impresia că „orice merge”, a spus Schultz.
Cercetările ulterioare privind traficul programului de afiliere l-au urmărit în alte domenii utilizate în scopuri suspecte, revenind la 28 noiembrie. Unele domenii sunt găzduite în Ucraina, iar altele în Canada.
Cineva implicat în schemă a atras aurul prin introducerea cumva a unor reclame în rețeaua de publicitate Yahoo.
„Dacă puteți intra în rețelele publicitare, mai ales, este foarte profitabil”, a spus Schultz într-un interviu telefonic vineri.
Traficul mare pe site-ul Yahoo înseamnă că mai multe persoane au văzut reclame rău intenționate, ceea ce a însemnat o rată mai mare de infecție. Rețelele de publicitate online afișează reclame pentru a se asigura că nu sunt rău intenționate, dar, din când în când, cei răi se strecoară.
Reclamele dăunătoare redirecționează persoane către domenii care găzduiesc kitul de exploatare „Magnitude”, care testează pentru a vedea dacă un computer are vulnerabilități software în cadrul aplicației Java.
În cazul în care Magnitude a găsit o vulnerabilitate, a instalat malware, cum ar fi malware ZeuS, Andromeda, Dorkbot și clicuri pe anunțuri, potrivit companiei olandeze de informare Fox-IT, care a scris prima dată despre problemele Yahoo..
Trimite sfaturi și comentarii la [email protected] Urmărește-mă pe Twitter: @jeremy_kirk
Alăturați-vă comunităților Network World pe Facebook și LinkedIn pentru a comenta subiecte care sunt de vârf.