Google a commencé aujourd’hui à avertir plus d’un million d’internautes que leurs ordinateurs sont infectés par un programme malveillant qui détourne les résultats de recherche et tente d’effrayer les utilisateurs pour qu’ils achètent de faux logiciels antivirus.
Ingénieur sécurité Google Damien Menscher a déclaré avoir découvert le réseau monstre de machines piratées lors de la maintenance de routine d’un centre de données Google. Menscher a déclaré que lorsque Google met un centre de données hors ligne, le trafic de recherche dirigé vers ce centre est temporairement arrêté. De manière inattendue, Menscher a découvert qu’un centre de données récemment mis hors ligne recevait encore des milliers de requêtes par seconde.
Capture d’écran de l’image que Google affiche pour informer les utilisateurs des PC infectés.
Menscher a creusé plus loin et a découvert la source du trafic : plus d’un million de machines Microsoft Windows ont été infectées par une souche de logiciels malveillants conçus pour détourner les résultats lorsque les utilisateurs recherchent des mots clés sur Google.com et d’autres moteurs de recherche majeurs. Ironiquement, le trafic n’était pas du tout du trafic de recherche : le logiciel malveillant demandait aux PC hôtes de cingler périodiquement une adresse Internet Google spécifique pour vérifier si les systèmes étaient en ligne.
Menscher a déclaré que le malware arrive apparemment sur les ordinateurs des victimes sous la forme de faux antivirus ou de programmes « scareware » qui utilisent des avertissements trompeurs sur les menaces de sécurité pour inciter les gens à acheter un logiciel de sécurité sans valeur. Il soupçonne que le faux programme AV est livré avec ou télécharge plus tard le composant pirate de recherche.
Le logiciel malveillant intercepte le trafic destiné à des domaines de premier plan tels que google.com, yahoo.com et bing.com, et l’achemine via des hôtes intermédiaires ou des « proxies » contrôlés par les attaquants. Les proxies sont utilisés pour modifier les résultats de recherche qu’une victime voit pour un terme de recherche donné et pour rediriger le trafic vers des systèmes de paiement au clic qui paient pour le trafic vers des sites Web spécifiques.
Heureusement, le trafic généré par le malware possède une « signature » unique que Google peut utiliser pour alerter les victimes. Google place une notification bien visible en haut des résultats de recherche Google des victimes ; il comprend des liens vers des ressources pour aider à supprimer l’infection.
Google devrait être applaudi pour avoir alerté les utilisateurs, mais le travail acharné sera dans le nettoyage : les pirates de recherche sont connus pour empêcher les utilisateurs de visiter des sites Web antivirus ou d’autres sources populaires d’outils de suppression de logiciels malveillants.