Les escrocs abusent de Google Adwords, la plate-forme publicitaire du géant des moteurs de recherche, pour diffuser des logiciels malveillants aux personnes à la recherche de logiciels légitimes et populaires.
Les mesures de sécurité de Google sont généralement robustes, mais les experts ont découvert qu’ils avaient réussi à utiliser une solution de contournement.
La campagne est simple – les escrocs cloneraient des logiciels populaires tels que Grammarly, MSI Afterburner, Slack ou autres, et les infecteraient avec un voleur d’informations. Dans ce cas, les attaquants ajoutaient Raccoon Stealer et le chargeur de logiciels malveillants IceID. Ensuite, ils créeraient une page de destination où les victimes seraient envoyées pour télécharger les programmes malveillants. Ces pages ont été conçues pour sembler identiques aux pages légitimes.
Tromper Google
Ensuite, ils créeraient une annonce et la placeraient sur Google Adwords. De cette façon, chaque fois qu’une personne recherche ces programmes ou d’autres mots clés pertinents, elle voit les publicités à divers endroits (y compris les premières positions sur la page de résultats du moteur de recherche Google).
L’astuce est que l’algorithme de Google est relativement efficace pour repérer les pages de destination malveillantes hébergeant des logiciels dangereux. Pour contourner les mesures de sécurité, les attaquants créeraient également une page de destination bénigne vers laquelle l’annonce enverrait les visiteurs.
Cette page de destination redirigerait alors immédiatement les victimes vers la page malveillante.
Les campagnes de cyberattaques qui exploitent des logiciels légitimes pour distribuer des logiciels malveillants ne sont pas nouvelles, mais les chercheurs ont pour la plupart été dans l’ignorance lorsqu’il s’agit de méthodes pour amener les gens sur les pages de destination. Fin octobre, les chercheurs ont découvert une campagne majeure avec plus de 200 domaines frauduleux, mais jusqu’à aujourd’hui, personne ne savait comment les domaines étaient annoncés.
Maintenant que le complot a été découvert, on peut s’attendre à ce que Google mette fin rapidement à la campagne (si ce n’est pas déjà fait).
Outre les applications susmentionnées, les escrocs se faisaient également passer pour (s’ouvre dans un nouvel onglet) ces programmes : Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird et Brave.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)