Google : une fausse pub pour ce logiciel connu cachait un malware

Google a diffusé dans ses résultats de recherche une fausse publicité incitant à télécharger un programme connu. Il s'agissait en réalité d'une copie infectée par un malware volant les informations personnelles des victimes.

Quand vous tapez une recherche sur Google, vous êtes depuis longtemps habitué à voir apparaître en premier ou non loin des résultats qui se démarquent un peu des autres. Ils sont facilement reconnaissables par la mention Sponsorisé juste au-dessus d'eux. Ces liens sont des publicités pour lesquelles les entreprises ont payé afin de gagner un maximum de visibilité. En règle générale, on les ignore, mais elles fonctionnent tout de même. Et ça, les pirates le savent très bien.

Certains détournent les publicités Google (ou Google Ads) pour mener leur campagne de diffusion d'un malware. La méthode est presque toujours identique. Ils prennent un logiciel connu que les gens sont susceptibles de chercher et créent un site pour le télécharger avant de le mettre en avant via Google Ads. Bien sûr, il s'agit d'une copie infectée par le programme malveillant qu'ils souhaitent vous voir installer. On a déjà vu ces fausses publicités dangereuses sur Google et Bing. Plus récemment, c'est le logiciel CPU-Z qui s'est retrouvé visé.

La recherche Google laisse apparaître un lien sponsorisé menant à un malware

Si vous ne le connaissez pas, CPU-Z est un utilitaire pratique qui donne toutes les informations dont vous pourriez avoir besoin sur les composants de votre ordinateur. Type de processeur, de mémoire RAM, stockage… Comme on le voit sur la capture d'écran ci-dessous, en cherchant “cpu-z”, on tombe sur un lien sponsorisé. En cliquant dessus, on est soit renvoyé vers un blog inoffensif, soit vers une copie du site légitime Windows Report. Tout dépend de si vous êtes visé par l'attaque ou non.

Une fois sur le faux Windows Report, vous téléchargez ce que vous croyez être CPU-Z. Le programme contient un script qui s'exécute quand vous le lancez et, s'il n'est pas détecté par votre anti-virus, va commencer à dérober les données personnelles contenues sur l'ordinateur. Pour ne pas tomber dans le piège, il suffit d'un peu de vigilance pour remarquer par exemple que l'adresse du faux site ne correspond pas avec ce qui est affiché (“workspace-app” au lieu de Windows Report). L'an dernier, une fausse version de MSI After Burner a servi à miner des cryptomonnaies chez les victimes.

Source : Malwarebytes