Google AdWords est utilisé pour diffuser des malwares

Illustration d'un ordinateur portable avec une loupe qui met en avant un scarabée sur l'écran
(Crédit photo: Shutterstock / Kanoktuch)

Des escrocs abusent de Google Adwords, la plateforme publicitaire du géant des moteurs de recherche, pour diffuser des logiciels malveillants auprès de personnes à la recherche de logiciels légitimes et populaires.

Les mesures de sécurité de Google sont généralement très efficaces, mais les experts ont constaté que ces pirates ont réussi à employer une solution de contournement.

La campagne de cyberattaque était simple : les escrocs clonaient des logiciels populaires tels que Grammarly, MSI Afterburner, Slack ou d'autres, et les infectaient avec un voleur d'informations. Dans ce cas précis, les attaquants ajoutaient Raccoon Stealer, et le chargeur de malware IceID. Ensuite, ils créaient une page de renvoi où les victimes aboutissaient pour télécharger les programmes malveillants. Ces pages étaient conçues de manière à paraître identiques aux pages officielles.

Comment tromper Google

Ensuite, ils créaient une annonce et la plaçaient sur Google Adwords. Ainsi, chaque fois qu'une personne effectuait une recherche sur ces programmes ou sur d'autres mots clés pertinents, elle voyait les annonces à différents endroits (y compris dans les premières positions de la page de résultats du moteur de recherche Google).

L'astuce est que l'algorithme de Google est relativement bon pour repérer les pages de destination malveillantes hébergeant des logiciels dangereux. Pour contourner les mesures de sécurité, les attaquants créaient également une page de renvoi inoffensive vers laquelle l'annonce attirait les visiteurs.

Cette page de destination redirigeait alors immédiatement les victimes vers la page malveillante.

Les campagnes de cyberattaques qui exploitent des logiciels légitimes pour diffuser des logiciels malveillants ne sont pas nouvelles, mais les chercheurs ignorent la plupart du temps les méthodes utilisées pour amener les internautes sur les pages de destination. À la fin du mois d'octobre, les chercheurs ont découvert une campagne majeure avec plus de 200 domaines frauduleux, mais jusqu'à aujourd'hui, personne ne savait comment les domaines étaient annoncés.

Maintenant que le complot a été découvert, on peut s'attendre à ce que Google mette rapidement fin à cette campagne (si ce n'est déjà fait).

Outre les applications susmentionnées, les escrocs se sont également fait passer pour les programmes suivants : Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird et Brave.

Via: BleepingComputer (s'ouvre dans un nouvel onglet)

Sead Fadilpašić

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.