После того как в нескольких баннерах, размещенных на главной странице сервиса Yahoo, был обнаружен вирус , специалисты из Cisco Systems решили провести подробное исследование. По результатам проведенной работы стало известно, что вредонос может быть связан с более крупной ботсетью, управляемой с территории Украины.
В ходе исследования инцидента безопасности оказалось, что вредоносные web-сайты, на которые перенаправлялись пользователи, связаны с сотням других страниц, которые ранее использовались для кибератак. Об этом в блоге компании сообщил ИБ-эксперт Джейсон Шультц (Jaeson Schultz).
Шультц проанализировал использованные домены и установил, что они связаны с 393 другими доменами. Все они начинаются с чисел, содержат от двух до шести зашифрованных поддоменных DNS-имен и заканчиваются двумя случайными словами в домене второго уровня. Эксперт также сообщил, что в четверг, 9 января, несколько доменов оставались активными.
По словам Шультца, большинство доменов перенаправляют на два домена, которые обрабатывают данные для программы под названием Paid-To-Promote.net. В ее рамках пользователи за определенную сумму денег могут продвигать свой трафик на другие сайты.
Напомним, что в период с 30 декабря прошлого года по 3 января этого года серверы Yahoo распространяли вирус, перенаправляющий пользователей на web-страницу, содержащую набор эксплоитов Magnitude.
Источник: SecurityLab
|