ヤフーのユーザーをマルウェアに感染させたサイバー攻撃をシスコシステムズが詳しく調査した結果、この攻撃とウクライナに根ざした疑わしいアフィリエイト・トラフィック・プッシュ計画との間に関連があることが判明した。
ヤフーは日曜日、12月31日から先週土曜日までの間、欧州のユーザーに悪質な広告、いわゆる「マルバタイジングメント」が表示されていたと発表した。これらの広告をクリックすると、悪質なソフトウェアをインストールしようとするウェブサイトに誘導される仕組みだった。
シスコの脅威調査エンジニア、ジェイソン・シュルツ氏は、被害者がアクセスした悪質なウェブサイトが、進行中のサイバー攻撃で使用されている他の数百のウェブサイトにリンクしていることを発見したと述べた。
シュルツ氏は、研究者がヤフーの被害者がリダイレクトされたと観察した大規模な IP ブロック内にホストされているドメインを調査し、パターンに一致する 393 件のドメインを発見した。
シスコのブログに掲載されたシュルツ氏の記事によると、悪意のあるドメインはすべて一連の数字で始まり、2~6個の難解なサブドメインラベルを含み、第2レベルドメインのランダムな2つの単語で終わる。一部のドメインは木曜日の時点でまだアクティブだった。
シュルツ氏によると、これらのドメインは、人々をマルウェアに誘導することを目的とした詐欺行為の一部であるようだ。この詐欺の背後にいるグループは、正規のウェブサイトにコードを感染させ、人々を悪意のあるドメインにリダイレクトさせているようだ。
悪意のあるドメインのほとんどは、Paid-To-Promote.netというアフィリエイトプログラムのデータを処理する2つのドメインにリダイレクトされます。このプログラムに登録すると、他のウェブサイトへのトラフィックを増やすことで報酬が支払われます。
このプログラムがヤフーへの攻撃と直接関係しているかどうかは不明だが、Paid-To-Promote.net のサイトは「何でもあり」という印象を与えるとシュルツ氏は語った。
アフィリエイトプログラムのトラフィックをさらに調査したところ、11月28日まで遡って、不審な目的で使用されていた他のドメインにまで遡ることが判明した。一部のドメインはウクライナでホストされており、その他はカナダでホストされている。
この計画に関与した何者かが、何らかの方法でヤフーの広告ネットワークにマルバタイジング広告を挿入して大儲けした。
「特に広告ネットワークに参入できれば、非常に儲かる」とシュルツ氏は金曜日の電話インタビューで語った。
Yahoo!サイトへのトラフィックが多ければ、悪質な広告を目にする人も増え、感染率も高くなります。オンライン広告ネットワークは広告が悪質でないことを確認するために審査を行っていますが、時折、悪質な広告が紛れ込むことがあります。
悪質な広告は、コンピュータの Java アプリケーション フレームワークにソフトウェアの脆弱性があるかどうかをテストする「Magnitude」エクスプロイト キットをホストするドメインにユーザーをリダイレクトします。
ヤフーの問題について最初に記事を書いたオランダのIT企業Fox-ITによると、マグニチュードは脆弱性を発見すると、ZeuS、Andromeda、Dorkbot、広告クリックマルウェアなどのマルウェアをインストールしたという。
