Une nouvelle campagne de publicités Google malveillantes, active pendant “des mois”, aurait probablement déployé des charges Cobalt Strike sur des victimes sans méfiance, ont averti les chercheurs.
Des chercheurs en cybersécurité de Malwarebytes ont récemment découvert une campagne qui détournait les publicités Google diffusées aux personnes recherchant Notepad++, un logiciel populaire d’édition de texte.
À chaque fois que quelqu’un recherchait Notepad++ (ou effectuait une requête similaire qui aurait dû afficher l’éditeur), les premiers résultats affichés étaient des publicités, dont certaines dirigeaient les utilisateurs vers un site malveillant.
C’est une tactique courante, déjà observée à plusieurs reprises. Sur la page de résultats du moteur de recherche, les titres des sites sont affichés en police de caractères plus grande que les liens, ce qui incite les gens à ne pas vérifier deux fois et à cliquer simplement sur le résultat suggéré. De plus, Google est généralement considéré comme un environnement de confiance, où les utilisateurs ne remettent généralement pas en question les intentions des sites qui y sont affichés (surtout en première page).
En tout cas, une fois que la victime a cliqué sur le lien, le site effectue d’abord quelques tests rapides pour s’assurer que le visiteur est bien réel (et non un bot, un VPN, ou autre), puis affiche un site qui ressemble presque identique au site légitime de Notepad++. Pour ceux considérés comme des bots (ou des visiteurs inappropriés), le site les redirige vers un site leurre. Les clients réguliers se voient présenter une page 404.
Étant inactifs au moment de l’analyse, les chercheurs de Malwarebytes n’ont pas pu enquêter sur la charge utile réelle, mais ils spéculent que les attaquants ont très probablement déployé Cobalt Strike. Cet outil précède souvent le déploiement de ransomware, rapporte BleepingComputer.
Les abus de réseaux publicitaires ne sont rien de nouveau. Les experts en cybersécurité mettent en garde les utilisateurs pour qu’ils soient prudents dans tout ce qu’ils font en ligne et vérifient toujours deux fois qu’ils téléchargent des logiciels légitimes à partir de sources légitimes. Les logiciels piratés et ceux distribués via des liens dans les courriels et les messages sur les réseaux sociaux sont presque toujours malveillants.
605 total views, 1 views today