Cyberattaque

Des pirates abusent des publicités Google pour diffuser des logiciels malveillants dans des logiciels légitimes

Par Philippe Ternision , le 3 janvier 2023 , mis à jour le 3 janvier 2023 - 5 minutes de lecture
hacker russie
Notez l'article

Afin de propager des logiciels malveillants auprès de personnes naïves à la recherche de logiciels connus, les opérateurs de logiciels malveillants abusent de plus en plus récemment de l’infrastructure Google Ads.

Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, Torrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird et Brave ne sont que quelques-uns des produits ainsi usurpés.

Lorsque les consommateurs cliquent sur le bouton de téléchargement des fausses versions des sites officiels des projets susmentionnés, les logiciels trojanisés sont distribués.

Cette méthode est utilisée pour distribuer diverses versions de Raccoon Stealer, un Vidar Stealer personnalisé et le chargeur de malware IcedID sur les PC des victimes.

La façon dont les gens ont été introduits sur ces sites Web est un détail qui a été omis, mais qui est maintenant largement connu.

Selon deux études de Guardio Labs et Trend Micro, les campagnes publicitaires de Google sont utilisées pour faire connaître ces sites dangereux à un public plus large.

Abus des publicités Google

En les affichant en bonne place dans la liste des résultats sous forme d’annonces, souvent au-dessus du site Web principal du projet, la plateforme Google Ads aide les spécialistes du marketing à promouvoir des pages sur Google Search.

Comme elle ressemble très bien au résultat de recherche original, les utilisateurs qui recherchent un logiciel légitime sur un navigateur sans bloqueur de publicité actif verront probablement la promotion en premier et cliqueront dessus.

La campagne est interrompue et les publicités sont retirées si Google détermine que la page de destination est malveillante. Les acteurs de la menace doivent donc utiliser une méthode à cette étape pour passer outre les inspections automatiques de Google.

L’approche, selon Guardio et Trend Micro, consiste à envoyer les personnes qui cliquent sur la publicité vers un site sans rapport mais inoffensif réalisé par l’acteur de la menace avant de les réacheminer vers un site malveillant qui se fait passer pour le projet de logiciel.

Landing and rogue sites used in malware distribution campaigns
Sites d’atterrissage et sites malveillants utilisés dans les campagnes (Guardio Labs)

Selon l’étude de Guardio Labs, le serveur dirige rapidement les utilisateurs ciblés vers le site malveillant à partir de ces domaines “déguisés”, et de là, vers la charge utile du logiciel malveillant.

“Ces sites malveillants sont pratiquement invisibles pour les visiteurs qui n’atteignent pas le flux promotionnel réel et apparaissent comme des sites bénins et sans rapport avec les robots d’exploration, les bots, les visiteurs occasionnels et, bien sûr, les responsables de l’application de la politique de Google” (Guardio Labs)

La charge utile, qui est acquise via des plateformes de partage de fichiers et d’hébergement de code fiables comme GitHub, Dropbox ou le CDN de Discord, se présente sous la forme d’un fichier ZIP ou MSI. Par conséquent, l’antivirus de l’ordinateur de la victime ne s’opposera pas au téléchargement.

The malware infection flow
Le flux d’infection du malware (Guardio Labs)

Selon Guardio Labs, une campagne qu’ils ont remarquée en novembre utilisait une version trojanisée de Grammarly pour inciter les utilisateurs à télécharger Raccoon Stealer.

Le logiciel légitime incluait le virus. Le malware s’installait discrètement et les utilisateurs recevaient le contenu qu’ils avaient téléchargé.

Selon un rapport de Trend Micro portant sur une campagne IcedID, les acteurs de la menace profitent du système de direction du trafic Keitaro pour déterminer si un visiteur de site Web est une victime légitime ou un chercheur avant de le rediriger.

Depuis 2019, ce système de direction du trafic est utilisé de manière abusive.

Évitez les téléchargements nuisibles

Le problème des résultats de recherche promus est qu’ils semblent légitimes. Les internautes sont invités à faire preuve d’une extrême prudence après que le FBI a récemment émis une mise en garde contre ce type d’opération publicitaire.

L’activation d’un bloqueur de publicité sur votre navigateur Web, qui bloque les résultats promus de Google Search, est une stratégie intelligente pour mettre fin à ces activités.

Faire défiler les pages jusqu’à ce que vous voyiez le domaine officiel du projet de logiciel que vous recherchez peut constituer une autre protection. En cas de doute, la page Wikipedia du logiciel indique le domaine officiel.

Il est préférable d’ajouter l’URL à vos favoris pour un accès rapide si vous visitez fréquemment le site Web d’un projet logiciel pour obtenir des mises à jour.

Une taille de fichier inhabituelle est un indicateur courant que l’installation que vous êtes sur le point de télécharger pourrait être malveillante.

Le domaine du site de téléchargement, qui peut correspondre au site légitime mais dont le nom comporte des lettres interverties ou une seule lettre incorrecte, ou “typosquattage”, est un autre signe évident de fraude.

 

 

 

 

  • Laplink Software Download Laplink DiskImage Pro 10
    Protégez votre PC à l'aide d'une copie (image) parfaite de toutes vos applications, tous vos fichiers et tous vos réglages. Restaurez rapidement et facilement votre PC et récupérez les fichiers endommagés ou perdus en raison de systèmes corrompus, de virus, de pirates ou d'autres logiciels malveillants. DiskImage restaure même vers un PC possédant un matériel différent en utilisant la fonctionnalité Restaurer indépendamment du matériel. Vous ne vous contentez pas de protéger vos données; vous sécurisez l'ensemble de votre PC. Lorsque vous restaurez une image, la configuration de votre ancien PC est restaurée en même temps que les données, que ce soit sur le même PC ou sur un autre. DiskImage est la solution parfaite pour vous protéger contre les pertes de données imprévisibles. Laplink Software Download Laplink DiskImage Pro 10
Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.