Une analyse en profondeur de Cisco sur la cyberattaque qui a infecté les utilisateurs de Yahoo en cliquant sur des publicités semble montrer un lien avec un programme d'affiliation ayant des racines en Ukraine. Pour mémoire, Yahoo a déclaré en début de semaine que les internautes européens ont été victimes de publicités corrompues entre le 31 décembre et le 4 janvier. Les utilisateurs étaient redirigés vers des sites qui essayaient de télécharger un malware sur leur PC.

Jaeson Schultz, ingénieur en recherche de menaces chez Cisco, a découvert que les sites webs malveillants étaient liés à des centaines d'autres qui sont utilisés dans des cyberattaques actuellement en cours. Il ajoute avoir regardé les domaines issus du blocage des adresses IP des victimes et a recensé 21 971 noms de domaine issus de 393 domaines qui correspondent aux fausses publicités de Yahoo. Les noms de domaines incriminés commencent tous par une série de chiffres, contiennent entre deux et six noms de sous-domaines chiffrés au milieu et se terminent par deux mots provenant de domaines de second niveau, explique le spécialiste sur le blog de Cisco. Il estime que les domaines font partie d'un système complet destiné à orienter les gens vers des malwares.

Un début d'attaques fin novembre

Toujours selon le chercheur, la plupart des domaines malveillants redirigent vers deux autres domaines qui traitent les données pour un programme d'affiliation appelé Promote.net. Les personnes qui s'inscrivent à cette solution sont rémunérées pour pousser du trafic vers d'autres sites. Des recherches sur ce programme ont permis de découvrir d'autres domaines suspects utilisés depuis le 28 novembre. Ces domaines sont hébergés en Ukraine et au Canada.

« Si vous pouvez intégrer les réseaux de publicité, c'est très lucratif », constate M. Schultz à propos de l'insertion de malware dans les publicités de Yahoo. Les pirates ont bénéficié du fort trafic du site pour atteindre un maximum de personne et un taux d'infection élevé.