Yahoo malvertising-aanval gekoppeld aan een groter malwareschema

Een diepere blik van Cisco Systems op de cyberaanval die Yahoo-gebruikers met malware heeft geïnfecteerd, lijkt een verband te laten zien tussen de aanval en een verdacht verkeersopstoppend affiliatieprogramma met wortels in Oekraïne.

Yahoo zei zondag dat Europese gebruikers tussen 31 december en afgelopen zaterdag kwaadaardige advertenties of 'malvertisements' te zien kregen. Als erop werd geklikt, stuurden de advertenties gebruikers naar websites die probeerden schadelijke software te installeren.

Cisco ontdekte dat de kwaadwillende websites waarop slachtoffers zijn terechtgekomen, zijn gekoppeld aan honderden andere die zijn gebruikt bij voortdurende cyberaanvallen, zei Jaeson Schultz, een ingenieur voor dreigingsonderzoek.

Schultz keek naar domeinen die werden gehost binnen een groot IP-blok waar onderzoekers naar keken waar Yahoo-slachtoffers naar werden doorverwezen, en vond 393 andere die overeenkwamen met een patroon.

De kwaadaardige domeinen beginnen allemaal met een reeks cijfers, bevatten tussen twee en zes cryptische subdomeinlabels en eindigen met twee willekeurige woorden in het domein op het tweede niveau, volgens de beschrijving van Schultz op de blog van Cisco. Enkele domeinen waren vanaf donderdag nog actief.

De domeinen lijken deel uit te maken van een schema dat is ontworpen om mensen naar malware te leiden, zei Schultz. De groep achter de zwendel lijkt legitieme websites te infecteren met code die mensen omleidt naar die kwaadaardige domeinen.

De meeste kwaadaardige domeinen verwijzen door naar twee andere domeinen die gegevens verwerken voor een partnerprogramma genaamd Paid-To-Promote.net. Mensen die zich aanmelden voor het programma, worden betaald om verkeer naar andere websites te leiden.

Het was niet duidelijk of dat programma rechtstreeks verband houdt met de Yahoo-aanval, maar de site van Paid-To-Promote.net wekt de indruk dat "alles mag", zei Schultz.

Verder onderzoek naar het verkeer van het partnerprogramma vond zijn oorsprong in andere domeinen die voor verdachte doeleinden worden gebruikt, en dateert van 28 november. Sommige domeinen worden gehost in Oekraïne en andere in Canada.

Iemand die bij de regeling betrokken was, heeft goud gewonnen door op de een of andere manier misvormingen in het advertentienetwerk van Yahoo op te nemen.

'Vooral als je in de advertentienetwerken kunt komen, is dat erg lucratief', zei Schultz vrijdag in een telefonisch interview.

Het hoge verkeer naar de site van Yahoo betekent dat meer mensen de kwaadaardige advertenties te zien kregen, wat een hoger besmettingspercentage betekende. Online advertentienetwerken screenen advertenties om er zeker van te zijn dat ze niet schadelijk zijn, maar af en toe binnensluipen.

De kwaadaardige advertenties stuurden mensen door naar domeinen die de "Magnitude" -exploitkit hosten, die test of een computer softwarekwetsbaarheden heeft in het Java-toepassingsframework.

Als Magnitude een kwetsbaarheid ontdekte, installeerde het malware zoals ZeuS, Andromeda, Dorkbot en malware die op advertenties klikt, volgens het Nederlandse IT-bedrijf Fox-IT, dat voor het eerst schreef over de problemen van Yahoo.

Stuur nieuwstips en opmerkingen naar [email protected] Volg mij op Twitter: @jeremy_kirk

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.