Рекламные баннера на страницах Yahoo! в течение нескольких дней распространяли вирусы. При просмотре рекламы пользователя перенаправляли на web-страницу,содержащую набор вредоносных программ Magnitude, сообщает SecurityLab. Как утверждают эксперты, в период распространения вируса (с 31 декабря по 4 января) на зараженные страницы перенаправлялось порядка 27 000 пользователей в час. В компании также отметили, что наиболее часто жертвами вредоносных баннеров становились пользователи из Румынии, Великобритании, а также Франции.
Несколькими днями позже эксперты Cisco Systems провели анализ хакерской атаки и выяснили, что жертвы вредоносных сайтов перенаправлялись на ресурсы, которые были связаны с украинскими хакерскими группировками. Джейсон Шульц, специалист по ИТ-безопасности Cisco Systems, говорит, что все множество доменных адресов, задействованных в данной атаке, было размещено в блоке IP-адресов, принадлежащих одному и тому же провайдеру.
По данным расследования Cisco, всего в атаке были задействованы 393 IP-адреса из одного блока. Также в компании говорят, что имена вредоносных доменов всегда начинались с серии цифр в поддоменах и заканчивались случайными словами в домене второго уровня, причем зачастую слова представляли собой бессмысленные наборы букв. Большая часть доменов на сегодня уже не отвечает, но некоторые работают и по сей день.
Организаторы атак чаще всего использовали компьютеры своих жертв в рамках партнерской программы Paid-to-Promote.net, которая используется для разных целей, но чаще всего для нагона трафика с целью обмана рекламодателей. В Cisco говорят, что большая часть мошеннических доменов была зарегистрирована 28 ноября 2013 года. Некоторые из доменов хостились в Канаде, другие – в Украине.
Напомним, что в августе прошлого года многие пользователи социальной сети Facebook стали жертвами нового вредоносного вируса, который маскировался под видом фотографии. Сообщалось, что вирус приходит под видом сообщений от других пользователей со ссылкой. При нажатии на ссылку начинается загрузка архива, в котором есть замаскированный под фотографию файл с названием «summertime-funny.jpg.exe»