Les attaquants copient des sites logiciels légitimes pour propager des logiciels malveillants via la plateforme Google Ads

Il y a eu une augmentation du nombre d’acteurs malveillants abusant de la plateforme Google Ads pour distribuer des logiciels malveillants à des utilisateurs non avertis qui cherchent à télécharger ces produits logiciels populaires.

Eh bien, les acteurs malveillants répliquent les sites Web officiels de ces produits logiciels et diffusent ensuite des versions remplies de chevaux de Troie de ces produits lorsque l’utilisateur clique sur le bouton de téléchargement.

Voici les produits logiciels que les acteurs malveillants ciblent – Grammarly, Malwarebytes, μTorrents, AnyDesk, MSI Afterburner, Slack, Thunderbird, OB.S, Ring, Libre Office, Brave, Dashlane, Teamviewer et Audacity.

Eh bien, certains de ces logiciels malveillants que la victime a obtenus sur son ordinateur incluent les variantes de Racoon Stealer, qui est une version personnalisée de Vidar Steeler et le chargeur de malware IceID.

Il y a un mois, nous avons couvert la campagne MSI Afterburner, qui a infecté des utilisateurs avec le malware RedLine, et un rapport de Bleeping computers mentionne une campagne massive de typosquatting dans laquelle jusqu’à 200 domaines ont copié des produits logiciels.

Il n’était pas clair comment les victimes ont atterri sur ces sites Web, bien que des rapports de plusieurs entreprises de sécurité comme TrendMicro et Guardio Labs expliquent que tout cela s’est produit alors que les attaquants ont atteint une base d’utilisateurs plus large en promouvant leurs sites Web via des campagnes publicitaires Google !

La plateforme Google Ads est un service qui permet aux annonceurs de promouvoir leurs sites Web et pages tout en les plaçant en haut de la recherche et souvent au-dessus des sites Web officiels des produits.

Cela signifie que les utilisateurs qui n’utilisent pas ou ont désactivé les bloqueurs de publicités verront ce site Web promu en premier et cliqueront dessus, le prenant comme un véritable résultat de recherche !

Les acteurs malveillants appliquent ensuite des astuces pour contourner les vérifications automatisées de Google, et si Google découvre que la page d’atterrissage est malveillante, alors la campagne publicitaire est bloquée et les annonces sont supprimées.

Maintenant, selon GaurdioLabs et TrendMicro. L’astuce que les attaquants utilisent est d’amener les victimes à cliquer sur l’annonce et ensuite de les diriger vers un site Web non lié mais non nuisible, qui, soit dit en passant, est également créé par l’attaquant, les redirigeant ensuite vers le site Web malveillant se faisant passer pour le produit logiciel.

Ainsi, dès que les utilisateurs ciblés visitent le site Web dupliqué, le serveur les redirige immédiatement vers le site Web malveillant et de là vers le chargement malveillant, a déclaré GaurdioLabs.

De plus, ces sites Web malveillants ne sont même pas visibles pour le visiteur, ne les atteignant pas depuis le véritable flux promotionnel, des sites Web non pertinents pour les robots d’exploration, les visiteurs occasionnels, les bots et les agents de conformité de Google.

Le chargement vient dans un fichier ZIP et est téléchargé depuis un site Web légitime comme GitHub, Dropbox ou Discord CDN, garantissant que l’antivirus fonctionnant sur l’ordinateur cible ne s’opposera pas au téléchargement.

Selon l’entreprise de sécurité, la campagne qu’ils ont découverte en novembre dans laquelle les attaquants ont attiré les utilisateurs vers la version remplie de chevaux de Troie de Grammarly, qui avait Racoon Stealer.

Le malware est venu avec le logiciel original, donc les utilisateurs obtiennent le logiciel légitime ainsi que le malware qui s’installerait silencieusement.

Un rapport de TrendMicro explique que la campagne IceID dans laquelle les attaquants ont exploité le système de trafic Ketaro pour détecter si l’utilisateur visitant le site Web est vraiment une victime ou un chercheur, et ensuite la redirection a lieu ; cette exploitation TDS existe depuis 2019.

Eh bien, cela dit, les résultats de recherche promus sont souvent difficiles à identifier comme faux en raison de tous les éléments de légitimité qu’ils portent, donc une façon de bloquer ces campagnes publicitaires est d’activer un bloqueur de publicités sur votre navigateur, ce qui filtrera à son tour les résultats de recherche promus.

Une autre façon est de faire défiler la page Web jusqu’à ce que vous voyiez le domaine du produit logiciel que vous cherchez à télécharger.

Lire : RisePro Malware volant des mots de passe, des informations de carte de crédit et des portefeuilles de cryptomonnaie