Google : les publicités du moteur de recherche sont détournées pour diffuser un dangereux malware

Une nouvelle campagne dangereuse visant à diffuser des malwares, baptisée “Nitrogen”, a été identifiée. Elle utilise les publicités Google et Bing pour déployer plus largement des logiciels malveillants et des ransomwares.

Google et Bing sont victimes d’une nouvelle campagne visant à diffuser des malwares par l’intermédiaire des publicités sur les deux moteurs de recherche. L'objectif de ces logiciels malveillants est d'obtenir un accès initial aux réseaux d'entreprise, ce qui permet ainsi aux pirates de voler des données, de mener des opérations de cyberespionnage et de déployer des ransomwares.

La campagne cible principalement les entreprises technologiques et des organisations à but non lucratif en Amérique du Nord, en se déguisant en applications logicielles populaires telles que AnyDesk, Cisco AnyConnect VPN, TreeSize Free et WinSCP. Lorsque les utilisateurs recherchent ces applications sur Google ou Bing, ils voient apparaître des publicités vantant les mérites de ces logiciels, mais il s’agit en fait de leurres.

Lire également – Google Chrome : désinstallez vite ces extensions, elles contiennent un malware !

Les publicités Google sont victimes de malwares

Si les utilisateurs cliquent sur ces publicités, ils sont redirigés vers de faux sites web qui ressemblent beaucoup à des sites de téléchargement de logiciels légitimes. Ils y téléchargent à leur insu des programmes d'installation ISO infectés contenant un fichier DLL malveillant appelé “msi.dll”.

Cette DLL malveillante, connue sous le nom de “NitrogenInstaller”, est responsable de l'installation de l'application promise pour éviter les soupçons et d'un paquet Python malveillant. Elle crée alors une clé d'exécution dans le registre, garantissant que le logiciel malveillant reste sur le système de la victime.

Le composant Python du logiciel malveillant établit ensuite une communication avec le serveur de commande et de contrôle de l'acteur de la menace, ce qui lui permet de prendre le contrôle du système de la victime. Les attaquants peuvent alors exécuter diverses actions malveillantes, comme installer à distance des logiciels voleurs d’informations et même des rançongiciels.

Les pirates utilisent les malwares pour installer des ransomwares

L'objectif final des attaquants n'est pas tout à fait clair, mais la chaîne d'infection suggère qu'ils préparent les systèmes compromis au déploiement d'un ransomware. Ici, ce sont finalement les victimes qui finissent par compromettre leurs propres appareils. Dans de nombreux cas, elles ignorent même les avertissements de leurs programmes antivirus, les considérant comme de faux positifs, parce qu'elles pensent avoir accédé à la page via leur moteur de recherche de confiance.

Certains internautes croient fermement que le système de filtrage des entreprises fonctionne bien et qu'il est impossible de faire passer une campagne malveillante, mais certains pirates finissent parfois par trouver des failles dans les contrôles des géants technologiques.

Ce n’est d’ailleurs pas la première fois que les publicités de Google sont utilisées pour répandre des malwares, puisque d’autres cybercriminels avaient déjà lancé une campagne similaire l’année dernière. Grammarly, MSI Afterburner ou encore Slack avaient fait l'objet d'une usurpation d'identité afin d'inciter les internautes à installer IceID et Raccoon Stealer, des logiciels malveillants et des voleurs d'informations bien connus.

La meilleure façon de rester en sécurité est d'être toujours en alerte, même lorsque l'on effectue des recherches sur Google et Bing, ou que l'on clique sur des publicités provenant de réseaux publicitaires connus. Pour se protéger contre ce type d'attaque, il est conseillé aux utilisateurs d'éviter de cliquer sur les résultats mis en avant dans les moteurs de recherche lorsqu'ils téléchargent des logiciels. Il veut mieux télécharger des logiciels en se rendant directement sur le site officiel du développeur.

Si Google souffre toujours de certaines campagnes malveillantes sur son moteur de recherche, celles-ci devraient bientôt devenir plus rares sur Android, grâce à un changement apporté au Play Store.