Zdá se, že hlubší pohled společnosti Cisco Systems na kybernetický útok, který infikoval uživatele Yahoo malwarem, ukazuje spojení mezi útokem a podezřelým systémem přidruženého provozu s kořeny na Ukrajině..
Yahoo v neděli uvedl, že evropským uživatelům byly mezi 31. prosincem a minulou sobotou doručeny škodlivé reklamy nebo „špatné reklamy“. Pokud na ně uživatel klikne, reklamy nasměrují uživatele na weby, které se pokusily nainstalovat škodlivý software.
Společnost Cisco zjistila, že oběti škodlivých webových stránek, na které přistáli, jsou spojeny se stovkami dalších, které byly použity v probíhajících kybernetických útokech, řekl Jaeson Schultz, inženýr výzkumu hrozeb.
Schultz se podíval na domény hostované v rámci velkého bloku IP, na které vědci pozorovali, že oběti Yahoo byly přesměrovány, a zjistil, že 393 dalších odpovídá vzoru.
Všechny škodlivé domény začínají řadou čísel, obsahují mezi dvěma a šesti kryptickými štítky subdomén a končí dvěma náhodnými slovy v doméně druhé úrovně, podle Schultzova zápisu na blogu společnosti Cisco. Některé z domén byly od čtvrtka stále aktivní.
Domény se zdají být součástí systému určeného k nasměrování lidí k malwaru, řekl Schultz. Zdá se, že skupina za podvodem infikuje legitimní weby kódem, který lidi přesměrovává na tyto škodlivé domény.
Většina škodlivých domén přesměrovává na dvě další domény, které zpracovávají data pro přidružený program s názvem Paid-To-Promote.net. Lidé, kteří se přihlásí do programu, dostávají zaplacené poplatky za přenos na jiné webové stránky.
Nebylo jasné, zda je tento program přímo spojen s útokem Yahoo, ale stránky Paid-To-Promote.net vyvolávají dojem, že „cokoli jde,“ řekl Schultz..
Další výzkum provozu přidruženého programu vysledoval jeho návrat k dalším doménám používaným pro podezřelé účely, počínaje 28. listopadem. Některé domény jsou hostovány na Ukrajině a další v Kanadě..
Někdo zapojený do systému zasáhl zlato nějakým vložením chybných reklam do reklamní sítě Yahoo.
"Pokud se dostanete zejména do reklamních sítí, je to velmi lukrativní," řekl Schultz v telefonním rozhovoru v pátek.
Vysoký provoz na webu Yahoo znamená, že více lidí vidělo škodlivé reklamy, což znamenalo vyšší míru infekce. Online reklamní sítě zobrazují reklamy, aby zajistily, že nejsou škodlivé, ale občas se do nich vkradou špatní.
Škodlivé reklamy přesměrovávaly lidi na domény hostující exploitační sadu „Magnitude“, která testuje, zda počítač nemá softwarová zranitelnost v aplikačním rámci Java.
Pokud Magnitude našel zranitelnost, nainstaloval malware jako ZeuS, Andromeda, Dorkbot a malware ad-click, podle nizozemské IT firmy Fox-IT, která nejprve psala o problémech Yahoo.
Zasílejte novinky a komentáře na [email protected] Sledujte mě na Twitteru: @jeremy_kirk
Připojte se ke komunitám World World na Facebooku a LinkedIn a přidávejte komentáře k tématům, která jsou na prvním místě.
