Google a été surpris en train d’héberger une publicité malveillante si convaincante qu’il y a de bonnes chances qu’il ait réussi à tromper certains des utilisateurs les plus avertis en matière de sécurité qui l’ont rencontrée.
En regardant la publicité, qui se fait passer pour un argumentaire pour le gestionnaire de mots de passe open source Keepass, il n’y a aucun moyen de savoir qu’elle est fausse. C’est sur Google, après tout, qui prétend contrôler les publicités qu’il diffuse. Rendant la ruse encore plus convaincante, cliquer dessus mène à ķeepass[.]info, qui, lorsqu’elle est affichée dans une barre d’adresse, semble être le véritable site Keepass.
Un examen plus attentif du lien montre cependant que le site est pas le véritable. En fait, ķeepass[.]info – du moins lorsqu’il apparaît dans la barre d’adresse – n’est qu’une manière codée de désigner xn--eepass-vbb[.]info, qui s’avère être à l’origine d’une famille de logiciels malveillants identifiée sous le nom de FakeBat. La combinaison de l’annonce sur Google avec un site Web avec une URL presque identique crée une tempête de tromperie presque parfaite.
« Les utilisateurs sont d’abord trompés via la publicité Google qui semble tout à fait légitime, puis à nouveau via un domaine similaire », a écrit mercredi Jérôme Segura, responsable des renseignements sur les menaces chez le fournisseur de sécurité Malwarebytes, dans un article révélant l’arnaque.
Les informations du Centre de transparence des annonces de Google montrent que les annonces sont diffusées depuis samedi et sont apparues pour la dernière fois mercredi. Les publicités ont été payées par une société appelée Digital Eagle, qui, selon la page de transparence, est un annonceur dont l’identité a été vérifiée par Google.
Les représentants de Google n’ont pas immédiatement répondu à un e-mail envoyé après les heures de travail. Dans le passé, la société a déclaré qu’elle supprimait les publicités frauduleuses dès que possible après leur signalement.
Le tour de passe-passe qui a permis au site imposteur xn--eepass-vbb[.]les informations doivent apparaître comme ķeepass[.]info est un système de codage appelé punycode. Il permet aux caractères Unicode d’être représentés dans du texte ASCII standard. En regardant attentivement, il est facile de repérer le petit chiffre en forme de virgule juste en dessous du k. Lorsqu’il apparaît dans une barre d’adresse, le chiffre est tout aussi facile à manquer, surtout lorsque l’URL est soutenue par un certificat TLS valide, comme c’est le cas ici.
Les arnaques aux logiciels malveillants améliorés par Punycode ont une longue histoire. Il y a deux ans, des escrocs utilisaient les publicités Google pour diriger les internautes vers un site qui semblait presque identique à brave.com, mais qui était en fait un autre site Web malveillant proposant une fausse version malveillante du navigateur. La technique du punycode a attiré l’attention pour la première fois en 2017, lorsqu’un développeur d’applications Web a créé un site de validation de principe se faisant passer pour apple.com.
Il n’existe aucun moyen infaillible de détecter les publicités Google malveillantes ou les URL codées en punycode. Publication de ķeepass[.]les informations dans les cinq principaux navigateurs mènent au site imposteur. En cas de doute, les utilisateurs peuvent ouvrir un nouvel onglet de navigateur et saisir manuellement l’URL, mais ce n’est pas toujours réalisable lorsqu’ils sont longs. Une autre option consiste à inspecter le certificat TLS pour vous assurer qu’il appartient au site affiché dans la barre d’adresse.