Les pirates abusent de Google Ads afin de diffuser des logiciels malveillants dans des logiciels légitimes

Les Hackers abusent de plus en plus de la plate-forme Google Ads pour diffuser des logiciels malveillants à des utilisateurs sans méfiance à la recherche de produits logiciels populaires.

Parmi les produits usurpés dans ces campagnes figurent Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird et Brave.

Les acteurs de la menace clonent les sites Web officiels des projets ci-dessus et distribuent des versions trojanisées du logiciel lorsque les utilisateurs cliquent sur le bouton de téléchargement.

Certains des logiciels malveillants livrés aux systèmes victimes de cette manière incluent des variantes de Raccoon Stealer, une version personnalisée de Vidar Stealer et le chargeur de logiciels malveillants IcedID.

BleepingComputer a récemment rendu compte de telles campagnes, aidant à révéler une campagne massive de typosquatting qui a utilisé plus de 200 domaines imitant des projets logiciels. Un autre exemple est une campagne utilisant de faux portails MSI Afterburner pour infecter les utilisateurs avec le voleur RedLine.

Cependant, un détail manquant était la façon dont les utilisateurs étaient exposés à ces sites Web, une information qui est maintenant connue.

Deux rapports de Guardio Labs et Trend Micro expliquent que ces sites Web malveillants sont promus auprès d’un public plus large via des campagnes Google Ad.

Abus de Google Ads

La plate-forme Google Ads aide les annonceurs à promouvoir des pages sur la recherche Google, en les plaçant en haut de la liste des résultats en tant que publicités, souvent au-dessus du site Web officiel du projet.

Cela signifie que les utilisateurs à la recherche d’un logiciel légitime sur un navigateur sans bloqueur de publicités actif verront la promotion en premier et sont susceptibles de cliquer dessus car elle ressemble beaucoup au résultat de recherche réel.

Si Google détecte que le site de destination est malveillant, la campagne est bloquée et les publicités sont supprimées. Les pirates doivent donc utiliser une astuce à cette étape pour contourner les vérifications automatisées de Google.

Selon Guardio et Trend Micro, l’astuce consiste à diriger les victimes qui cliquent sur l’annonce vers un site non pertinent mais bénin créé par l’auteur de la menace, puis à les rediriger vers un site malveillant se faisant passer pour le projet logiciel.

« Au moment où ces sites » déguisés « sont visités par des visiteurs ciblés, le serveur les redirige immédiatement vers le site escroc et de là vers la charge utile malveillante », explique Guardio Labs dans le rapport .

« Ces sites malveillants sont pratiquement invisibles pour les visiteurs qui n’atteignent pas le véritable flux promotionnel et se présentent comme des sites bénins et sans rapport avec les robots d’exploration, les robots, les visiteurs occasionnels et, bien sûr, pour les responsables de l’application des politiques de Google » – Guardio Labs

La charge utile, qui se présente sous forme ZIP ou MSI, est téléchargée à partir de services réputés de partage de fichiers et d’hébergement de code tels que GitHub, Dropbox ou le CDN de Discord. Cela garantit que tout programme antivirus exécuté sur la machine de la victime ne s’opposera pas au téléchargement.

Guardio Labs dit que dans une campagne qu’ils ont observée en novembre, l’acteur de la menace a attiré les utilisateurs avec une version trojanisée de Grammarly qui a livré Raccoon Stealer.

Le logiciel malveillant était associé au logiciel légitime. Les utilisateurs obtiendraient ce qu’ils téléchargent et le logiciel malveillant s’installerait en silence.

Le rapport de Trend Micro , qui se concentre sur une campagne IcedID, indique que les acteurs de la menace abusent du système de direction du trafic Keitaro pour détecter si le visiteur du site Web est un chercheur ou une victime valide avant que la redirection ne se produise. L’abus de cette TDS est constaté depuis 2019 .

Évitez les téléchargements nuisibles

Les résultats de recherche promus peuvent être délicats car ils portent tous les signes de légitimité. Le FBI a récemment  mis en garde contre ce type de campagne publicitaire, incitant les internautes à la plus grande prudence.

Un bon moyen de bloquer ces campagnes consiste à activer un bloqueur de publicités sur votre navigateur Web, qui filtre les résultats promus de la recherche Google.

Une autre précaution serait de faire défiler jusqu’à ce que vous voyiez le domaine officiel du projet logiciel que vous recherchez. En cas de doute, le domaine officiel est répertorié sur la page Wikipedia du logiciel.

Si vous visitez fréquemment le site Web d’un projet logiciel particulier pour rechercher des mises à jour, il est préférable de mettre l’URL en signet et de l’utiliser pour un accès direct.

Un signe courant que le programme d’installation que vous êtes sur le point de télécharger pourrait être malveillant est une taille de fichier anormale.

Un autre signe clair de jeu déloyal est le domaine du site de téléchargement, qui peut ressembler au site officiel mais qui a échangé des caractères dans le nom ou une seule lettre erronée, connue sous le nom de « typosquatting ».