Cisco encontró cientos de dominios sospechosos que probablemente son utilizados para esparcir malware.

Un análisis realizado por Cisco Systems en el ciber ataque que infectó a los usuarios de Yahoo con malware parece mostrar una relación entre el ataque y tráfico sospechoso con origen en Ucrania.

Yahoo declaró que los usuarios europeos fueron afectados con avisos maliciosos (malvertisements) entre el 31 de diciembre y el 4 de enero. Si se daba clic sobre los avisos, se direccionaba a los usuarios a sitios que intentaban instalar código malicioso.

Cisco descubrió que los sitios maliciosos están ligados a otros cientos que se han utilizado en ataques en curso actualmente. Según el ingeniero en investigación de amenazas Jaeson Schultz.

Schultz observó que los dominios ubicados en un gran bloque de direcciones IP fueron usados en las redirecciones maliciosas, encontrando otros 393 que cuadran con el patrón. Los dominios maliciosos comienzan con una serie de números, "contiene entre dos y seis etiquetas de subdominios cifrados" y terminan con dos palabras aleatorias en el segundo nivel del dominio, de acuerdo a lo publicado por Schultz en el blog de Cisco. Algunos dominios aun continuaban activos.

El grupo detrás de este ataque de scam parece infectar sitios web legítimos con código que redirige a los usuarios a los dominios maliciosos.

La mayoría de los dominios maliciosos redirigen a dos o más dominios que procesan los datos para un programa de afiliados llamado pago por promover Paid-To-Promote.net. Las personas que se afilian al programa reciben un pago por redirigir tráfico hacia otros sitios.

No está claro aun de qué manera el programa está relacionado al ataque contra Yahoo, pero da la impresión de que para Paid-To-Promote.net todo cuenta. Según Schultz.

Una investigación adicional sobre el tráfico del programa de afiliados permitió rastrear otros dominios usados con fines sospechosos desde el 28 de noviembre. Algunos dominios están hospedados en Ucrania y otros en Canadá.

Alguien relacionado al esquema encontró beneficios al agregar malvertisements en la red de avisos de Yahoo.

"Es muy lucrativo entrar en el negocios de los anuncios. El alto tráfico hacia el sitio de Yahoo significa que más personas están viendo los anuncios maliciosos, lo que significa una gran tasa de infección. Las redes de  anuncios en línea muestran anuncios que aseguran no son maliciosos, pero algunos logran introducirse."

Los anuncios maliciosos redireccionan a las personas hacia equipos que contienen el kit de exploits Magnitud, el cual verifica si el equipo posee una versión vulnerable de Java.

Si Magnitud encuentra una vulnerabilidad, instala malware como ZeuS, Andromeda, Dorkbot y anuncios con malware, de acuerdo con la empresa Holandesa Fox-IT, quien escribió por primera vez sobre los problemas de Yahoo.