Google a été victime de sa propre plate-forme publicitaire, permettant aux acteurs de la menace de créer de fausses publicités Google Authenticator qui poussent le DeerStealer à voler des informations malveillantes.

Pendant des années, des campagnes de publicité malveillante (publicité malveillante) ont ciblé la plate-forme de recherche Google, où les acteurs de la menace placent des publicités pour se faire passer pour des sites logiciels bien connus qui installent des logiciels malveillants sur les appareils des visiteurs.

Pour aggraver les choses, les auteurs de menaces ont pu créer des annonces de recherche Google qui affichent des domaines légitimes, ce qui ajoute un sentiment de confiance à la publicité.

Dans une nouvelle campagne de publicité malveillante découverte par Malwarebytes, des acteurs de la menace ont créé des publicités qui affichent une publicité pour Google Authenticator lorsque les utilisateurs recherchent le logiciel dans la recherche Google.

Ce qui rend l’annonce plus convaincante, c’est qu’elle montre ‘google.com’ et « https://www.google.com » en tant qu’URL de clic, ce qui ne devrait clairement pas être autorisé lorsqu’un tiers crée la publicité.

Compte d’annonceur vérifié

Nous avons vu cette stratégie de masquage d’URL très efficace dans le passé campagnes de publicité malveillante, y compris pour KeePass, navigateur Arc, YouTube et Amazon. Pourtant, Google continue de ne pas détecter quand ces annonces d’imposteurs sont créées.

Malwarebytes a noté que l’identité de l’annonceur est vérifiée par Google, ce qui montre une autre faiblesse de la plate-forme publicitaire dont les acteurs de la menace abusent.

Contacté à propos de cette campagne de publicité malveillante, Google a déclaré à Breachtrace qu’il avait bloqué le faux annonceur signalé par Malwarebytes.

Lorsqu’on lui a demandé comment les acteurs de la menace pouvaient diffuser des publicités se faisant passer pour des entreprises légitimes, Google a déclaré que les acteurs de la menace échappaient à la détection en créant des milliers de comptes simultanément et en utilisant la manipulation de texte et le camouflage pour montrer aux examinateurs et aux systèmes automatisés des sites Web différents de ceux qu’un visiteur régulier verrait.

Cependant, l’entreprise augmente l’échelle de ses systèmes automatisés et de ses examinateurs humains pour aider à détecter et à supprimer ces campagnes malveillantes. Ces efforts leur ont permis de supprimer 3,4 milliards d’annonces, de restreindre plus de 5,7 milliards d’annonces et de suspendre plus de 5,6 millions de comptes d’annonceurs en 2023.

Faux sites d’authentification Google
En cliquant sur les fausses annonces Google Authenticator, le visiteur est redirigé vers une série de redirections vers la page de destination à « chromeweb-authenticators.com, » qui se fait passer pour un véritable portail Google.

Bac à sable d’analyse de logiciels malveillants ferme TOUT.RUN a également observé cette campagne, partageant des pages de destination supplémentaires de cette campagne sur X. Celles-ci incluent des domaines portant le même nom, comme authenticcator-descktop[.] avec, chromstore-authentificateur[.] avec, et authentificateur-gogle[.] com.

Cliquer sur le bouton « Télécharger l’authentificateur » sur les faux sites déclenche le téléchargement d’un exécutable signé nommé « Authentificateur ».exe  » [VirusTotal] hébergé sur GitHub.

Le référentiel GitHub hébergeant le logiciel malveillant est nommé « authgg » et les propriétaires du référentiel « authe-gogle », les deux ressemblant à des noms associés au thème de la campagne.

Le site malveillant qui propage Deer Stealer

L’exemple de Malwarebytes téléchargé est signé par ‘ Songyuan Meiying Electronic Products Co., Ltd.’un jour avant le téléchargement, mais N’IMPORTE LEQUEL.RUN a précédemment obtenu une charge utile signée par ‘ Reedcode Ltd.’

Signatures valides sur différents échantillons du malware

La signature valide donne de la crédibilité au fichier sous Windows, contournant potentiellement les solutions de sécurité et lui permettant de s’exécuter sur l’appareil de la victime sans avertissement.

Lorsque le téléchargement est exécuté, il lancera le logiciel malveillant de vol d’informations Deerstalker, qui vole les informations d’identification, les cookies et d’autres informations stockées dans votre navigateur Web.

Il est recommandé aux utilisateurs qui souhaitent télécharger un logiciel d’éviter de cliquer sur les résultats sponsorisés sur la recherche Google, d’utiliser un bloqueur de publicités ou de mettre en signet les URL des projets logiciels qu’ils utilisent généralement.

Avant de télécharger un fichier, assurez – vous que l’URL sur laquelle vous vous trouvez correspond au domaine officiel du projet. De plus, analysez toujours les fichiers téléchargés avec un outil antivirus à jour avant de les exécuter.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *