Une nouvelle campagne de publicité malveillante dans la recherche Google cible les utilisateurs souhaitant télécharger le populaire éditeur de texte Notepad++, en utilisant des techniques avancées pour échapper à la détection et à l’analyse.
Les acteurs malveillants abusent de plus en plus de Google Ads dans le cadre de campagnes de publicité malveillante visant à promouvoir de faux sites Web de logiciels distribuant des logiciels malveillants.
Selon Malwarebytes, qui a repéré la campagne de publicité malveillante Notepad++, celle-ci est active depuis plusieurs mois mais a réussi à passer inaperçue pendant tout ce temps.
La charge utile finale livrée aux victimes est inconnue, mais Malwarebytes affirme qu’il s’agit très probablement de Cobalt Strike, qui précède généralement les déploiements de ransomwares très dommageables.
Abuser des publicités Google
La campagne de publicité malveillante Notepad++ fait la promotion d’URL qui n’ont manifestement aucun rapport avec le projet logiciel, mais qui utilisent des titres trompeurs affichés dans les publicités des résultats de recherche Google.
Cette stratégie de référencement est fortement abusée dans ce cas, et comme les titres sont beaucoup plus grands et plus visibles que les URL, de nombreuses personnes risquent de tomber dans le piège.
Une fois que les victimes cliquent sur l’une des publicités, une étape de redirection vérifie leur adresse IP pour filtrer les utilisateurs susceptibles d’être des robots d’exploration, des VPN, des robots, etc., les conduisant vers un site leurre qui ne lâche rien de malveillant.
En revanche, les cibles légitimes sont redirigées vers « notepadxtreme[.]com » qui imite le véritable site Notepad++, proposant des liens de téléchargement pour différentes versions de l’éditeur de texte.
Lorsque les visiteurs cliquent sur ces liens, une deuxième vérification des empreintes digitales du système est effectuée par un extrait de code JavaScript pour valider qu’il n’y a aucune anomalie ou indication que le visiteur utilise un bac à sable.
Les victimes marquées comme cibles appropriées reçoivent ensuite un script HTA, auquel est attribué un identifiant unique, susceptible de permettre aux attaquants de suivre leurs infections. Cette charge utile n’est servie qu’une seule fois par victime, donc une deuxième visite entraîne une erreur 404.
L’examen du HTA par Malwarebytes n’a produit aucune information utile car il n’était pas utilisé comme arme à l’époque, mais les analystes ont trouvé le même fichier dans un téléchargement VirusTotal de juillet.
Ce fichier a tenté de se connecter à un domaine distant sur un port personnalisé, les chercheurs pensant qu’il faisait probablement partie d’un déploiement de Cobalt Strike.
Pour éviter de télécharger des logiciels malveillants lorsque vous recherchez des outils logiciels spécifiques, ignorez les résultats promus dans la recherche Google et vérifiez que vous avez atterri sur le domaine officiel.
Si vous n’êtes pas sûr du véritable site Web du projet, consultez sa page « À propos », sa documentation, sa page Wikipédia et ses réseaux sociaux officiels.