Een onderzoek door Cisco-systemen naar de cyberaanval die gebruikers van Yahoo infecteerde met malware lijkt koppelingen te tonen tussen de aanval en een verkeer drijvend systeem in Oekraïne.

Yahoo zei op zondag dat gebruikers in Europa schadelijke advertenties te zien kregen tussen 31 december en 4 januari. Als erop werd geklikt, stuurden de advertenties gebruikers naar websites die vervolgens probeerden kwaadaardige software te installeren.

Cisco heeft ontdekt dat de websites waarop de slachtoffers terechtkomen, zijn gekoppeld aan anderen die zijn gebruikt bij lopende cyberaanvallen. Jaeson Schultz, een onderzoeker op het gebied van bedreigingen bij Cisco, zegt dat het schema deel uitmaakt van een veel groter plan om mensen rechtstreeks naar malwaresites te brengen.

Alles gaat

De meeste van de kwaadwillende domeinen verwijzen naar twee andere domeinen die gegevens verwerken voor een partnerprogramma genaamd 'Paid-To-Promote.net'. Mensen die zich aanmelden voor het programma worden vergoedingen betaald om verkeer naar andere websites te pushen.

Het was niet duidelijk of dat programma direct gelinkt is aan de Yahoo-aanval, maar de site van Paid-To-Promote.net geeft de indruk dat "alles mogelijk is", zei Schultz in een blogpost.

De groep achter de regeling lijkt te proberen legitieme websites te infecteren met code die hen doorstuurt naar kwaadaardige domeinen. De groep wordt vervolgens betaald afhankelijk van hoeveel verkeer ze brengen. Iemand die betrokken is bij de website is erin geslaagd malware-advertenties in te voegen in het Yahoo-netwerk die honderdduizenden regisseerden naar websites die Paid-to-Promote wilden.

Vanwege het hoge verkeer naar de site van Yahoo, hebben meer mensen de kwaadaardige advertenties gezien, wat een hogere besmettingsgraad betekende.

De kwaadwillende advertenties hebben mensen omgeleid naar domeinen die de exploit-kit 'Magnitude' hosten, die test om te zien of een computer softwarekwetsbaarheden heeft in het Java-toepassingsraamwerk.

  • De IT-infrastructuur virus- en malwarevrij houden