Una mirada más profunda por parte de Cisco Systems al ciberataque que infectó a los usuarios de Yahoo con malware parece mostrar un vínculo entre el ataque y un esquema de tráfico de afiliados sospechoso con raíces en Ucrania.
Yahoo dijo el domingo que los usuarios europeos recibieron anuncios maliciosos, o "publicidad maliciosa", entre el 31 de diciembre y el sábado pasado. Si se hace clic, los anuncios dirigieron a los usuarios a sitios web que intentaron instalar software malicioso.
Cisco descubrió que los sitios web maliciosos a los que llegaron las víctimas están vinculados a cientos de otros que han sido utilizados en ataques cibernéticos en curso, dijo Jaeson Schultz, ingeniero de investigación de amenazas..
Schultz examinó los dominios alojados dentro de un gran bloque de IP al que los investigadores observaron que las víctimas de Yahoo fueron redirigidas, encontrando 393 más que coincidían con un patrón.
Todos los dominios maliciosos comienzan con una serie de números, contienen entre dos y seis etiquetas de subdominio críptico y terminan con dos palabras aleatorias en el dominio de segundo nivel, según el informe de Schultz en el blog de Cisco. Algunos de los dominios seguían activos a partir del jueves.
Los dominios parecen ser parte de un esquema diseñado para dirigir a las personas al malware, dijo Schultz. El grupo detrás de la estafa parece infectar sitios web legítimos con código que redirige a las personas a esos dominios maliciosos.
La mayoría de los dominios maliciosos redirigen a otros dos dominios que procesan datos para un programa de afiliados llamado Paid-To-Promote.net. A las personas que se inscriben en el programa se les paga una tarifa para enviar tráfico a otros sitios web..
No estaba claro si ese programa está directamente vinculado al ataque de Yahoo, pero el sitio de Paid-To-Promote.net da la impresión de que "todo vale", dijo Schultz.
Investigaciones adicionales sobre el tráfico del programa de afiliados lo remontaron a otros dominios utilizados con fines sospechosos, desde el 28 de noviembre. Algunos dominios están alojados en Ucrania y otros en Canadá.
Alguien involucrado en el esquema encontró oro al insertar malversiones de alguna manera en la red de publicidad de Yahoo.
"Si puede ingresar a las redes publicitarias, especialmente, eso es muy lucrativo", dijo Schultz en una entrevista telefónica el viernes..
El alto tráfico al sitio de Yahoo significa que más personas vieron los anuncios maliciosos, lo que significó una mayor tasa de infección. Las redes publicitarias en línea filtran anuncios para asegurarse de que no sean maliciosos, pero ocasionalmente los malos se colaron.
Los anuncios maliciosos redirigieron a las personas a dominios que albergaban el kit de explotación "Magnitud", que prueba para ver si una computadora tiene vulnerabilidades de software en el marco de la aplicación Java.
Si Magnitude encontró una vulnerabilidad, instaló malware como ZeuS, Andromeda, Dorkbot y malware para hacer clic en anuncios, según la firma holandesa de TI Fox-IT, que primero escribió sobre los problemas de Yahoo.
Envíe sugerencias de noticias y comentarios a [email protected] Sígueme en Twitter: @jeremy_kirk
Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.
