Le FBI met en garde contre les publicités des moteurs de recherche poussant les logiciels malveillants et le phishing

Le FBI avertit que les acteurs de la menace utilisent les publicités des moteurs de recherche pour promouvoir des sites Web distribuant des rançongiciels ou pour voler les identifiants de connexion des institutions financières et des échanges cryptographiques.

Dans l’annonce d’intérêt public d’aujourd’hui, l’agence fédérale d’application de la loi a déclaré que les acteurs de la menace achètent des publicités qui se font passer pour des entreprises ou des services légitimes. Ces publicités apparaissent en haut des pages de résultats de recherche et renvoient vers des sites qui semblent identiques au site Web de l’entreprise dont l’identité a été usurpée.

« Lorsqu’un utilisateur recherche cette entreprise ou ce service, ces publicités apparaissent tout en haut des résultats de recherche avec une distinction minimale entre une publicité et un résultat de recherche réel »,  prévient le FBI .

« Ces publicités renvoient à une page Web qui semble identique à la page Web officielle de l’entreprise dont l’identité a été usurpée. »

Lors de la recherche de logiciels, le FBI indique que les publicités seront liées à des sites Web avec un lien de téléchargement vers un logiciel nommé d’après l’application usurpée.

L’avis du FBI met également en garde contre les publicités faisant la promotion de sites de phishing qui imitent les plateformes financières et, plus précisément, les plateformes d’échange de crypto-monnaies qui invitent les visiteurs à entrer leurs identifiants de compte.

Une fois les informations d’identification saisies sur ces sites de phishing, elles sont volées par des acteurs malveillants qui les utilisent pour voler des fonds ou les vendre à d’autres acteurs malveillants.

BleepingComputer a récemment aidé à révéler une  campagne massive de typosquattage utilisant plus de 200 sites Web  imitant des projets logiciels, des échanges de crypto-monnaie et des plates-formes de portefeuille pour pousser les logiciels malveillants Windows et Android.

Plus tôt dans l’année, un site  se faisant passer pour l’éditeur d’images GIMP a utilisé la publicité malveillante pour déposer le voleur d’informations Vidar sur ses visiteurs sans méfiance.

Alors que ces publicités semblaient faire la promotion du site Web gimp.org, comme indiqué ci-dessous, elles redirigeaient les utilisateurs vers un autre site diffusant des logiciels malveillants.

Dans un autre cas datant de mars 2022, les opérateurs du voleur de Mars ont abusé de Google Ads pour promouvoir un site malveillant Open Office sosie afin de distribuer leur malware.

Plus récemment, le SANS ISC a dévoilé une  campagne de malvertising AnyDesk  sur Google Search qui a supprimé le malware IcedID au lieu de l’application de bureau à distance populaire.

Comment se protéger

La précaution la plus cruciale lors de la recherche de quelque chose en ligne est de ne pas cliquer sur la première chose qui apparaît sur les résultats de la recherche sans vérifier son URL.

Comme les premiers résultats sur un terme de recherche donné sont généralement des publicités promues, il est plus sûr de les ignorer et de faire défiler vers le bas jusqu’à ce que vous voyiez le résultat de recherche officiel du site Web du projet et de l’utiliser à la place.

« Bien que les publicités des moteurs de recherche ne soient pas de nature malveillante, il est important de faire preuve de prudence lors de l’accès à une page Web via un lien annoncé », prévient le FBI.

De plus, même vérifier le lien ne peut que parfois aider, car les acteurs de la menace peuvent créer des publicités pour afficher une URL légitime mais rediriger les utilisateurs vers des sites clonés sous le contrôle de l’attaquant.

Une autre recommandation consiste à utiliser des bloqueurs de publicités, qui filtrent les résultats promus sur la recherche Google.

Si vous visitez fréquemment un site Web, il serait préférable de marquer son URL et de l’utiliser pour y accéder au lieu de le rechercher à chaque fois.