Comment les pirates détournent les publicités Google pour diffuser des malwares

Des pirates ont détournées des annonces commerciales Google pour des logiciels de vidéoconférence Cisco Webex pour diffuser de dangereux malwares sur les appareils des utilisateurs.

Après la découverte d'un malware présent dans un logiciel Linux depuis des années, les chercheurs en sécurité informatique de Malwarebytes ont mis en lumière une nouvelle campagne malfaisante. En effet, il s'avère que des pirates ont détournées des annonces commerciales de Google pour diffuser de dangereux malwares.

Plus précisément, il s'agit de publicités pour des logiciels de vidéoconférence de Cisco Webex. Ces bannières commerciales semblent légitimes. Pour cause, elles reprennent le logo et l'URL réels du portail de téléchargement de Webex.com, comme lien. D'après les experts de Malwarabytes, les pirates ont utilisé une faille dans les modèles de suivi qui leur permet de rediriger les liens officiels vers le site de leur choix.

Détourner les pubs de Google sans violer sa politique

En effet, même si Google exige que l'URL présente dans une annonce commerciale appartienne au même domaine que l'URL finale vers laquelle l'utilisateur est redirigée, le modèle de suivi peut être trafiqué pour amener les utilisateurs vers une URL différente. Ainsi, les auteurs de cette campagne ont utilisé le lien malveillant “triwe.page.ling” dans le modèle de suivi, au lieu de l'URL de Webex.com.

De cette manière, les utilisateurs qui ont cliqué sur le lien ont bien constaté qu'ils était redirigés vers le site de Webex, alors qu'ils étaient en réalité renvoyés sur le site des pirates. Ce site, qui répond au nom de “webexadvertisingoffer.com”, a pour mission de déployer un logiciel malveillant sur l'appareil des victimes.

Afin de rester sous les radars autant que possible, les pirates ont fait en sorte de filtrer leurs cibles. En effet, le lien malveillant bloque l'accès aux chercheurs en sécurité informatique et aux robots d'indexation de Google. Ils peuvent également être renvoyés directement sur le site légitime de Cisco pour effacer tout soupçon.

A lire également : Free – les données personnelles de nombreux clients en vente sur le dark web

La fausse page Webex abrite un terrible malware

Une fois sur la fausse page Webex, les utilisateurs vont naturellement cliquer sur les liens de téléchargement. Le piège se referme alors : ils reçoivent un programme d'installation MSI qui génère plusieurs processus et exécute des commandes PowerShell pour installer le malware BatLoader. Maintenant confortablement installé sur votre appareil, le maliciel va exécuter une charge utile du malware DanaBot.

Pour rappel, DanaBot est un cheval de Troie bancaire en circulation depuis 2018. Ce malware peut faire des dégâts considérables. En effet, il est capable de voler des mots de passe, de prendre des captures d'écran à votre insu, de charger des modules de ransomware et de donner un accès direct aux machines compromises via HVNC, un logiciel de prise de contrôle à distance. Fort heureusement et comme le précisent nos confrères du site Bleeping Computer, Google a pris les mesures nécessaires à l'encontre des comptes associés à ces annonces malfaisantes.