Компания Cisco Systems провела анализ недавней хакерской атаки, когда группа мошенников разместила вредоносные объявления в сети Yahoo, переходы по которым приводили к заражению компьютеров вредоносными программами.
Анализ показал, что корнями данная атака уходит в Украину и там же, скорее всего, находятся ее организаторы, сообщает CyberSecurity.ru.
В минувшее воскресенье Yahoo заявила, что атака была ориентирована на пользователей из Европы, а вредоносные рекламные объявления размещались с 31 декабря по 4 января.
В Cisco рассказали, что жертвы вредоносных сайтов перенаправлялись на ресурсы, которые прежде уже были использованы для атак и были связаны с украинскими хакерскими группировками.
Джейсон Шульц, специалист по ИТ-безопасности Cisco Systems, говорит, что все множество доменных адресов, задействованных в данной атаке, было размещено в одном и том же блоке IP-адресов, принадлежащих одному и тому же провайдеру (клиенту).
По данным расследования Cisco, всего в атаке были задействованы 393 IP-адреса из одного блока. Также в компании говорят, что имена вредоносных доменов всегда начинались с серии цифр в поддоменах и заканчивались случайными словами в домене второго уровня, причем зачастую слова представляли собой бессмысленные наборы букв. Большая часть доменов на сегодня уже не отвечает, но некоторые работают и по сей день.
Организаторы атак чаще всего использовали компьютеры своих жертв в рамках партнерской программы Paid-to-Promote.net, которая используется для разных целей, но чаще всего для нагона трафика с целью обмана рекламодателей. В Cisco говорят, что большая часть мошеннических доменов была зарегистрирована одним днем - 28 ноября 2013 года. Некоторые из доменов хостились в Канаде, другие - на Украине.
Известно, что в рамках вредоносной кампании хакеры заражали компьютеры вредоносными кодами Zeus, Andromeda, Dorkbot/Ngrboot, а также рекламными системами нагона кликов Tinba и Necrus.
По данным мониторинга Fox-IT, вредоносный ролик показывался примерно 27 000 раз в час, а основная зрительская аудитория организаторов кампании находилась в Румынии, Франции и Великобритании. В Yahoo также сообщили, что кампания была ориентирована только на Европу, причем только на Windows-пользователей, тогда как Mac-аудитория, а также пользователи мобильных устройств были в безопасности.