Les pirates informatiques font preuve de créativité avec des campagnes malveillantes de Google Ads. Une nouvelle arnaque a été détectée par les chercheurs en cybersécurité de Malwarebytes. Même les visiteurs les plus attentifs pourraient devenir des victimes et finir par installer accidentellement des logiciels malveillants.
Les pirates ont été repérés en train de distribuer des logiciels malveillants en se faisant passer pour le gestionnaire de mots de passe KeePass, en créant un site web qui ressemble presque à l’identique à l’offre authentique de KeePass. Ils proposent un programme à télécharger qui ressemble beaucoup à l’article original.
Cependant, dans ce cas, le programme serait également accompagné du script PowerShell associé au chargeur de logiciels malveillants FakeBat, compromettant essentiellement le point de terminaison.
Punycode
Mais ce n’est que la moitié du travail. L’autre moitié consiste à amener les gens à visiter le site. Pour ce faire, les escrocs créent des Google Ads malveillantes. Habituellement, ils compromettent un compte Google Ads actif (ou en achètent un sur le marché noir) et l’utilisent pour mettre en place une nouvelle campagne. Lors de la mise en place de cette campagne, ils utiliseraient le Punycode pour cacher l’URL du site malveillant et le faire paraître authentique.
Le Punycode est une norme de codage conçue pour les noms de domaine internationalisés. En d’autres termes, il permet d’afficher des mots en ASCII qui ne peuvent pas être écrits en ASCII, intégrant ainsi des scripts non latins (cyrillique, chinois) dans le système de noms de domaine (DNS).
Avec le Punycode, la véritable URL du site – « xn—eepass-vbb.info » serait affichée sous la forme « ķeepass.info ». Vous ne l’avez peut-être pas remarqué, mais il y a un petit point sous la lettre k. Et c’est ainsi que les acteurs de la menace amènent les gens à visiter un faux site, en pensant qu’il est réel.
Malwarebytes a informé Google de la ruse et le géant des moteurs de recherche a supprimé la campagne malveillante. Cependant, il existe d’autres campagnes similaires qui sont toujours actives, et probablement beaucoup plus dont les chercheurs en cybersécurité ne sont pas conscients. Il est très important pour les utilisateurs d’être très prudents lorsqu’ils accèdent à des sites via le moteur de recherche et de toujours vérifier l’adresse dans la barre d’URL.
Pour plus d’informations, consultez BleepingComputer.