Les utilisateurs à la recherche de logiciels populaires sont ciblés par une nouvelle campagne de publicité malveillante qui abuse de Google Ads pour diffuser des variantes de chevaux de Troie qui déploient des logiciels malveillants, tels que Raccoon Stealer et Vidar.
L’activité utilise des sites Web apparemment crédibles avec des noms de domaine typosquattés qui apparaissent au-dessus des résultats de recherche Google sous la forme d’annonces malveillantes en détournant les recherches de mots clés spécifiques.
L’objectif ultime de ces attaques est d’inciter les utilisateurs peu méfiants à télécharger des programmes malveillants ou des applications potentiellement indésirables.
Dans une campagne divulguée par Guardio Labs, des acteurs de la menace ont été observés en train de créer un réseau de sites bénins qui sont promus sur le moteur de recherche, qui, lorsqu’ils sont cliqués, redirigent les visiteurs vers une page de phishing contenant une archive ZIP contenant un cheval de Troie hébergée sur Dropbox ou OneDrive.
« Au moment où ces sites » déguisés « sont visités par des visiteurs ciblés (ceux qui cliquent réellement sur le résultat de recherche promu), le serveur les redirige immédiatement vers le site escroc et de là vers la charge utile malveillante », a déclaré le chercheur Nati Tal.
Parmi les logiciels usurpés figurent AnyDesk, Dashlane, Grammarly, Malwarebytes, Microsoft Visual Studio, MSI Afterburner, Slack et Zoom, entre autres.
Guardio Labs, qui a surnommé la campagne MasquerAds, attribue une grande partie de l’activité à un acteur menaçant qu’il suit sous le nom de Vermux, notant que l’adversaire « abuse d’une vaste liste de marques et continue d’évoluer ».
L’opération Vermux a principalement ciblé les utilisateurs au Canada et aux États-Unis, en utilisant des sites masquerAds adaptés aux recherches d’AnyDesk et de MSI Afterburner pour faire proliférer les mineurs de crypto-monnaie et le voleur d’informations Vidar.
Le développement marque l’utilisation continue de domaines typosquattés qui imitent des logiciels légitimes pour inciter les utilisateurs à installer des applications Android et Windows malveillantes.
C’est également loin d’être la première fois que la plate-forme Google Ads est exploitée pour diffuser des logiciels malveillants. Le mois dernier, Microsoft a dévoilé une campagne d’attaque qui exploite le service de publicité pour déployer BATLOADER, qui est ensuite utilisé pour supprimer le rançongiciel Royal.
Mis à part BATLOADER, des acteurs malveillants ont également utilisé des techniques de publicité malveillante pour distribuer le logiciel malveillant IcedID via des pages Web clonées d’applications bien connues telles qu’Adobe, Brave, Discord, LibreOffice, Mozilla Thunderbird et TeamViewer.
« IcedID est une famille de logiciels malveillants remarquable qui est capable de fournir d’autres charges utiles, y compris Cobalt Strike et d’autres logiciels malveillants », a déclaré Trend Micro la semaine dernière. « IcedID permet aux attaquants d’effectuer des attaques de suivi très percutantes qui conduisent à une compromission totale du système, telles que le vol de données et des ransomwares paralysants. »
Les découvertes surviennent également alors que le Federal Bureau of Investigation (FBI) des États-Unis a averti que « les cybercriminels utilisent les services de publicité des moteurs de recherche pour se faire passer pour des marques et diriger les utilisateurs vers des sites malveillants qui hébergent des ransomwares et volent des identifiants de connexion et d’autres informations financières ».