Des publicités Google peuvent conduire à l’installation d’un malware. Des chercheurs ont en effet découvert que des faux sites de VPN propagent actuellement un redoutable virus sur les ordinateurs des internautes.
Les chercheurs d’Unit 42 ont découvert la présence d’un malware au sein d’une publicité mise en avant par Google. Comme l’expliquent les experts dans un rapport, le logiciel malveillant, connu sous le nom de WikiLoader ou WailingCrab, s’installe si l’internaute a la mauvaise idée de cliquer sur une publicité pour VPNGlobalProtect, un VPN tout à fait légitime. De cette façon, les pirates peuvent profiter de la popularité du VPN pour infiltrer l’ordinateur de leurs cibles.
Pour piéger les utilisateurs, les cybercriminels ont soigneusement copié l’interface du site officiel de VPNGlobalProtect. Le site reprend en effet à la lettre le design du site officiel afin d’endormir la vigilance des cibles. La plateforme frauduleuse persuade ensuite l’internaute de télécharger le fichier d’installation du VPN sur son ordinateur. Celui-ci charge incognito le virus WikiLoader sur la machine, offrant aux pirates tout ce qu’ils souhaitent.
Une fois installé, WailingCrab est libre de télécharger d’autres logiciels malveillants sur l’ordinateur des cibles. Découvert en 2022, le virus est en effet exclusivement taillé pour installer d’autres logiciels sur des systèmes infectés. En clair, l’attaque reposant sur WikiLoader peut aboutir à une infection par ransomware ou par un infostealer, qui pourrait vous voler l’intégralité de vos données personnelles. Les conséquences de l’attaque sont donc plutôt sérieuses.
À lire aussi : un collectionneur de NFT a tout perdu… à cause d’une pub sur Google
L’empoisonnement SEO
Pour mettre en avant leur faux site, les cybercriminels s’appuient sur une technique intitulée « l’empoisonnement SEO ». Cette stratégie consiste à manipuler les résultats des moteurs de recherche pour positionner des sites web dangereux en haut des pages de résultats. Les pirates se servent des astuces habituelles des spécialistes du SEO (Search Engine Optimization), comme l’utilisation de mots clés spécifiques, pour faire grimper leur faux site en tête de Google.
Surtout, ils vont investir dans des publicités par le biais de la régie publicitaire de Google. Ces annonces vont mettre le site frauduleux juste sous les yeux des potentielles victimes. C’est une technique de plus en plus efficace, et de plus en plus utilisée par les hackers. Parfois, ils trompent la vigilance de Google en se servant d’un compte publicitaire légitime. L’an dernier, un service de Google a même été usurpé par une campagne publicitaire malveillante.
Une fois que toute l’opération a été mise sur pied, l’internaute qui tapait VPNGlobalProtect sur Google voyait apparaître le site factice, contenant le malware WikiLoader, en haut de la page. Il n’est pas étonnant que des internautes tombent dans le piège, bien que la mention « sponsorisé » permette de comprendre qu’il s’agit d’une publicité.
Bonne nouvelle, « Google a confirmé que tous les sites mentionnés dans cet article sont connus de la navigation sécurisée », indique Unit42. Tout utilisateur « qui visite ces sites recevra un avertissement de risques de sécurité », explique le rapport. Grâce à la fonction « Navigation sécurisée » de Google Chrome, un avertissement s’affiche pour signaler les risques de sécurité potentiels lorsqu’un utilisateur tente de visiter un site épinglé comme dangereux.
On vous recommande de rester prudent, même si Chrome n’affiche pas d’avertissement. Avant de télécharger un document en ligne, assurez-vous qu’il s’agit bien du site officiel de l’entreprise ou du service que vous cherchez. Par précaution, n’hésitez pas à retaper le nom du site dans votre moteur de recherche, et à comparer les résultats obtenus. Comme le montre cette affaire, ce n’est pas parce qu’un site apparaît en tête de Google qu’il est sans le moindre danger…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Unit 42