Yahoo-malvertiseringangreb knyttet til større malware-skema

Et dybere kig fra Cisco Systems på cyberattacken, som inficerede Yahoo-brugere med malware ser ud til at vise en forbindelse mellem angrebet og en mistænkelig tilknyttet trafik-skubbende ordning med rødder i Ukraine.

Yahoo sagde søndag, at de europæiske brugere fik serveret ondsindede reklamer eller "ondskabsspørgsmål" mellem 31. december og sidste lørdag. Hvis der blev klikket, dirigerede annoncerne brugere til websteder, der forsøgte at installere ondsindet software.

Cisco opdagede, at de ondsindede websteder, ofrene landede på, er knyttet til hundreder af andre, der er blevet brugt i igangværende cyberattacks, sagde Jaeson Schultz, en trusselforskningsingeniør.

Schultz kiggede på domæner, der er vært inden for en stor IP-blok, som forskere observerede, at Yahoo-ofre blev omdirigeret til, og fandt 393 andre, der matchede et mønster.

De ondsindede domæner starter alle med en række numre, indeholder mellem to og seks kryptiske underdomæneetiketter og slutter med to tilfældige ord i det andet niveau-domæne ifølge Schultz's opskrivning på Ciscos blog. Nogle af domænerne var stadig aktive fra torsdag.

Domænerne ser ud til at være en del af et skema, der er designet til at dirigere folk til malware, sagde Schultz. Gruppen bag svindlen ser ud til at inficere legitime websteder med kode, der omdirigerer folk til disse ondsindede domæner.

De fleste af de ondsindede domæner omdirigerer til to andre domæner, der behandler data til et tilknyttet program kaldet Paid-To-Promote.net. Mennesker, der tilmelder sig programmet, betales gebyrer for at skubbe trafik til andre websteder.

Det var ikke klart, om dette program er direkte knyttet til Yahoo-angrebet, men Paid-To-Promote.net 's websted giver indtryk af, at "alt går," sagde Schultz.

Yderligere forskning i tilknytningsprogrammets trafik spores tilbage til andre domæner, der bruges til mistænkelige formål, tilbage til 28. november. Nogle domæner er vært i Ukraine og andre i Canada..

En person, der var involveret i ordningen, ramte guld ved på en eller anden måde at indsætte fejl i Yahoos annoncenetværk.

"Hvis du især kan komme ind i annoncenetværkene, er det meget lukrativt," sagde Schultz i en telefoninterview fredag.

Den høje trafik til Yahoos websted betyder, at flere mennesker så de ondsindede reklamer, hvilket betød en højere infektionsrate. Onlineannoncernetværk skærmer reklamer for at sikre, at de ikke er ondsindede, men sommetider snige sig dårlige.

De ondsindede reklamer omdirigerede folk til domæner, der er vært for "Magnitude" -udnyttelsessættet, der tester for at se, om en computer har softwaresårbarheder i Java-applikationsrammen.

Hvis Magnitude fandt en sårbarhed, installerede den malware såsom ZeuS, Andromeda, Dorkbot og ad-klikk malware, ifølge det hollandske it-firma Fox-IT, der først skrev om Yahoos problemer.

Send nyhedstips og kommentarer til [email protected] Følg mig på Twitter: @jeremy_kirk

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.