Attacco di malvertising Yahoo collegato a un più ampio schema di malware

Uno sguardo più approfondito da parte di Cisco Systems all'attacco informatico che ha infettato gli utenti di Yahoo con malware sembra mostrare un collegamento tra l'attacco e uno schema sospetto di traffico di affiliazione con radici in Ucraina.

Yahoo ha dichiarato domenica che gli utenti europei hanno ricevuto annunci pubblicitari dannosi o "malvertisements" tra il 31 dicembre e sabato scorso. Se cliccato, gli annunci pubblicitari indirizzavano gli utenti a siti Web che tentavano di installare software dannoso.

Cisco ha scoperto che i siti Web dannosi colpiti dalle vittime sono collegati a centinaia di altri che sono stati utilizzati negli attacchi informatici in corso, ha affermato Jaeson Schultz, un ingegnere di ricerca sulle minacce.

Schultz ha esaminato i domini ospitati all'interno di un grande blocco IP a cui i ricercatori hanno osservato che le vittime di Yahoo venivano reindirizzate, trovandone altre 393 che corrispondevano a uno schema.

I domini malevoli iniziano tutti con una serie di numeri, contengono tra due e sei etichette di sottodomini criptici e terminano con due parole casuali nel dominio di secondo livello, secondo il commento di Schultz sul blog di Cisco. Alcuni domini erano ancora attivi da giovedì.

I domini sembrano far parte di uno schema progettato per indirizzare le persone verso malware, ha affermato Schultz. Il gruppo dietro la truffa sembra infettare siti Web legittimi con codice che reindirizza le persone a quei domini malevoli.

La maggior parte dei domini dannosi reindirizza verso altri due domini che elaborano i dati per un programma di affiliazione chiamato Paid-To-Promote.net. Le persone che si iscrivono al programma sono pagate tasse per spingere il traffico verso altri siti Web.

Non era chiaro se quel programma fosse direttamente collegato all'attacco di Yahoo, ma il sito di Paid-To-Promote.net dà l'impressione che "tutto vada", ha detto Schultz.

Ulteriori ricerche sul traffico del programma di affiliazione risalgono ad altri domini utilizzati per scopi sospetti, risalenti al 28 novembre. Alcuni domini sono ospitati in Ucraina e altri in Canada.

Qualcuno coinvolto nel programma ha colpito l'oro inserendo in qualche modo malvertisements nella rete pubblicitaria di Yahoo.

"Se riesci ad entrare nelle reti pubblicitarie, in particolare, è molto redditizio", ha detto Schultz in un'intervista telefonica venerdì.

L'elevato traffico verso il sito di Yahoo significa che più persone hanno visto le pubblicità dannose, il che significava un più alto tasso di infezione. Le reti pubblicitarie online controllano le pubblicità per assicurarsi che non siano dannose, ma a volte quelle cattive si intrufolano.

Gli annunci pubblicitari dannosi reindirizzano le persone ai domini che ospitano il kit di exploit "Magnitude", che verifica se un computer presenta vulnerabilità del software nel framework dell'applicazione Java.

Se Magnitude ha riscontrato una vulnerabilità, ha installato malware come ZeuS, Andromeda, Dorkbot e malware per fare clic sugli annunci, secondo la società informatica olandese Fox-IT, che per prima cosa ha scritto dei problemi di Yahoo.

Invia suggerimenti e commenti su [email protected] Seguimi su Twitter: @jeremy_kirk

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.