Anúncios infectados do Yahoo! são apenas a ponta do iceberg, afirma Cisco

Há uma semana a empresa de segurança na internet Fox IT percebeu que o Yahoo! estava servindo anúncios maliciosos, os "malvertisements", a seus usuários na Europa. À época, nem a empresa, nem o Yahoo! foram capazes de definir de onde os anúncios tinham surgido e que grupo estava por trás da infecção. No entanto, agora, após uma análise mais apurada, a empresa de segurança Cisco Systems foi capaz de definir que os ataques partiram da Ucrânia e, aparentemente, fazem parte de um esquema de infecção muito maior.

De acordo o engenheiro da Cisco Jaeson Schultz, ao clicar nos anúncios as pessoas são levadas a sites que estão interligados a dezenas de centenas de outros que estão sendo utilizados em ciberataques em curso. Como resultado do seu estudo, Schultz descobriu que pelo menos 393 outros sites seguem o mesmo padrão de infecção àquele apresentado pelo que infectou as vítimas do Yahoo!.

Em uma publicação feita no blog da Cisco, o engenheiro revelou que todos os domínios iniciam com uma série de números, contêm entre dois a seis subdomínios criptografados e terminam com uma palavra aleatória. Para ele, todos os registros indicam que os sites foram feitos para direcionar pessoas a scripts maliciosos e foram feitos por um grupo que tem por objetivo infectar sites grandes e conhecidos.

A maioria dos sites redireciona as pessoas para pelo menos dois outros domínios que processam os dados para um programa de afiliados chamado Paid-To-Promote. Nesse programa, as pessoas se inscrevem e pagam para que o tráfego de sites grandes, como o Yahoo!, seja desviado para outros sites menores.

Embora ainda não tenha sido possível determinar se o programa está diretamente relacionado ao ataque feito ao Yahoo!, pode-se dizer que o Paid-To-Promote está disposto a fazer qualquer coisa para conseguir mais acessos a quem o paga.

A única coisa certa é que, pelas pesquisas, foi possível definir que alguns domínios estão hospedados na Ucrânia e outros no Canadá e que, de alguma forma, alguém envolvido no esquema conseguiu inserir os malvertisements na rede de publicidade do Yahoo!.

"Se você consegue invadir as redes de anúncios de alguém, isso é algo bastante lucrativo", finalizou Schultz em uma entrevista concedida na última sexta-feira (10).