Po tym jak Cisco Systems zaczęło bliżej przyglądać się cyberatakowi, którego ofiarą padli użytkownicy serwisu Yahoo, odkryto powiązanie pomiędzy wspomnianym atakiem, a ruchem złośliwego oprogramowania, którego korzenie znalazły się na Ukrainie.

Cisco odkryło, że złośliwe strony, na których wylądowały ofiary ataku prowadzą dalej do setek kolejnych stron, wykorzystanych w dalszych atakach, mówił Jaeson Schultz, threat research enigneer w Cisco.

Zobacz również:

• Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie
• Co trzecia firma w Polsce z cyberincydentem

Shultz przyglądał się domenom hostowanym w dużych blokach IP, do których zostały skierowane ofiary ataku i znalazł aż 393, pasujące do schematu.

Wszystkie złośliwe domeny zaczynały się od ciągu liczb, zawierającego od dwóch do sześciu ukrytych subdomen i kończących się z dwoma losowymi słowami na domenie drugiego poziomu. Niektóre z nich, w czwartek wciąż były aktywne.

Domeny te wydają się być częścią planu zaprojektowanego aby nakierować użytkowników na złośliwe oprogramowanie, mówi Schultz. Grupa stojąca za tym oszustwem stara się zarażać normalne strony kodem, który następnie kieruje użytkowników na złośliwe domeny.

Większość złośliwych domen kieruje następnie do dwóch kolejnych domen, które wyciągają dane dla powiązanego programu o nazwie Paid-To-Promote.net. Ludzie, którzy zapiszą się do tego programu otrzymują pieniądze za przesuwanie ruchu na kolejne strony.

„Nie jest do końca jasne czy program ten był bezpośrednio związany z atakiem na Yahoo, ale Paid-To-Promote.net sprawia wrażenie strony, na której nie ma żadnych zasad.” – mówi Schultz.

Dalsza analiza powiązanego ruchu prowadzi na kolejne podejrzane domeny hostowane między innymi na Ukrainie i w Kanadzie. Ktoś wpadł na genialny pomysł, żeby spróbować wepchnąć złośliwe reklamy w system reklamowy Yahoo.

„Jeśli jesteś w stanie dostać się do takiego systemu reklamowego, możesz osiągnąć naprawdę bardzo duże korzyści.” – opowiadał Shultz.

Duży ruch na stronach Yahoo, oznacza dużą liczbę wyświetleń złośliwych reklam, a przez to wyższy poziom zainfekowania. Sieci reklamowe zazwyczaj radzą sobie z tego typu atakami, czasem jednak coś się prześlizgnie.

Złośliwe reklamy kierowały ludzi do domen hostujących „Magnitude”, exploit testujący komputery użytkowników pod kątem dziur w środowisku Java. Jeśli „Magnitude” znajdował taką dziurę, instalował natychmiast złośliwe oprogramowanie takie jak ZeuS, Andromeda czy Dorkbot.