思科系统(Cisco Systems)对让雅虎(Yahoo)用户感染上恶意软件的网络攻击进行了更深入的调查,似乎显示这次攻击与源自乌克兰的可疑关联流量推动计划之间存在关联。
雅虎周日表示,从12月31日到上周六,欧洲用户收到了恶意广告。如果被点击,这些广告会将用户导向试图安装恶意软件的网站。
威胁研究工程师Jaeson Schultz说,思科发现,受害者登录的恶意网站与数百个正在进行的网络攻击中使用的网站有关联。
舒尔茨研究了托管在一个大IP区块内的域名,研究人员观察了雅虎受害者被重定向到的域名,发现了393个其他匹配的模式。
这些恶意域名都以一系列数字开始,包含2到6个密码子域名标签,并以第二级域名中的两个随机单词结束舒尔茨的那样在思科的博客。截至周四,一些域名仍然活跃。
舒尔茨说,这些域名似乎是一个旨在引导人们接触恶意软件的计划的一部分。这一骗局背后的团伙似乎用代码感染合法网站,将人们重定向到这些恶意域名。
大多数恶意域名重定向到另外两个域名,这些域名为一个名为付费-推广- .net的附属程序处理数据。注册该项目的人会获得付费,从而将流量推到其他网站。
尚不清楚该程序是否与雅虎的攻击有直接联系,但付费- to - promote.net网站给人的印象是“什么都可以”,舒尔茨说。
对联盟计划流量的进一步研究追踪到了其他用于可疑目的的域名,时间可以追溯到11月28日。一些域名托管在乌克兰,另一些在加拿大。
参与该计划的人以某种方式在雅虎的广告网络中插入恶意广告,从而大捞一笔。
舒尔茨在周五的一次电话采访中说:“如果你能进入广告网络,那将是非常有利可图的。”
雅虎网站的高流量意味着更多的人看到了恶意广告,这意味着更高的感染率。在线广告网络会过滤广告以确保它们不是恶意的,但偶尔也会有恶意的潜入。
恶意广告将人们重定向到托管“大小”攻击套件的域名,该套件测试计算机是否在Java应用程序框架中存在软件漏洞。
根据荷兰it公司Fox-IT的说法,如果发现一个漏洞,该公司就会安装诸如ZeuS、Andromeda、Dorkbot和广告点击恶意软件第一次写关于雅虎的问题。
发送新闻提示和评论到jeremy_kirk@idg.com。在Twitter上关注我:@jeremy_kirk