Attaque malveillante de Yahoo liée à un programme malveillant plus important

Un examen plus approfondi par Cisco Systems de la cyberattaque qui a infecté les utilisateurs de Yahoo avec des logiciels malveillants semble montrer un lien entre l'attaque et un système suspect de trafic de filiale avec des racines en Ukraine.

Yahoo a déclaré dimanche que les utilisateurs européens avaient reçu des publicités malveillantes, ou "publicités malveillantes", entre le 31 décembre et samedi dernier. Si vous cliquez dessus, les publicités dirigent les utilisateurs vers des sites Web qui tentent d'installer des logiciels malveillants.

Cisco a découvert que les sites Web malveillants sur lesquels les victimes ont atterri sont liés à des centaines d'autres qui ont été utilisés dans des cyberattaques en cours, a déclaré Jaeson Schultz, ingénieur de recherche sur les menaces..

Schultz a examiné les domaines hébergés dans un grand bloc IP vers lesquels les chercheurs ont observé que les victimes de Yahoo étaient redirigées, en trouvant 393 autres correspondant à un modèle.

Les domaines malveillants commencent tous par une série de nombres, contiennent entre deux et six étiquettes de sous-domaine cryptique et se terminent par deux mots aléatoires dans le domaine de deuxième niveau, selon les écrits de Schultz sur le blog de Cisco. Certains domaines étaient toujours actifs à partir de jeudi.

Les domaines semblent faire partie d'un système conçu pour diriger les gens vers les logiciels malveillants, a déclaré Schultz. Le groupe derrière l'arnaque semble infecter les sites Web légitimes avec du code qui redirige les gens vers ces domaines malveillants.

La plupart des domaines malveillants redirigent vers deux autres domaines qui traitent les données d'un programme d'affiliation appelé Paid-To-Promote.net. Les personnes qui s'inscrivent au programme sont payées pour pousser le trafic vers d'autres sites Web.

Il n'était pas clair si ce programme est directement lié à l'attaque de Yahoo, mais le site de Paid-To-Promote.net donne l'impression que "tout se passe", a déclaré Schultz..

Des recherches plus approfondies sur le trafic du programme d'affiliation l'ont retracé à d'autres domaines utilisés à des fins suspectes, remontant au 28 novembre. Certains domaines sont hébergés en Ukraine et d'autres au Canada.

Une personne impliquée dans le projet a décroché de l'or en insérant d'une manière ou d'une autre des publicités malveillantes dans le réseau publicitaire de Yahoo.

"Si vous pouvez entrer dans les réseaux publicitaires, en particulier, c'est très lucratif", a déclaré Schultz lors d'un entretien téléphonique vendredi..

Le trafic élevé sur le site de Yahoo signifie que plus de personnes ont vu les publicités malveillantes, ce qui signifie un taux d'infection plus élevé. Les réseaux de publicité en ligne filtrent les publicités pour s'assurer qu'elles ne sont pas malveillantes, mais que parfois les mauvaises se faufilent.

Les publicités malveillantes redirigeaient les gens vers des domaines hébergeant le kit d'exploitation "Magnitude", qui teste pour voir si un ordinateur a des vulnérabilités logicielles dans le cadre d'application Java.

Si Magnitude a trouvé une vulnérabilité, il a installé des logiciels malveillants tels que ZeuS, Andromeda, Dorkbot et des logiciels malveillants de clics publicitaires, selon la firme informatique néerlandaise Fox-IT, qui a d'abord écrit sur les problèmes de Yahoo.

Envoyez des conseils et des commentaires sur les nouvelles à [email protected] Suivez-moi sur Twitter: @jeremy_kirk

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.