Google Plus continue de lutter contre les cybercriminels diffusant des publicités malveillantes sur sa plate-forme de recherche pour inciter les gens à télécharger des copies piégées d'applications logicielles gratuites populaires. Les publicités malveillantes, qui apparaissent au-dessus des résultats de recherche organiques et précèdent souvent les liens vers des sources légitimes du même logiciel, peuvent rendre la recherche de logiciels sur Google risquée.
Google affirme que la sécurité des utilisateurs est une priorité absolue et que l'entreprise dispose d'une équipe de milliers de personnes travaillant 24 heures sur 24 pour créer et appliquer ses politiques en matière d'abus. Et selon la plupart des témoignages, la menace des mauvaises publicités menant à des logiciels backdoor s'est considérablement atténuée par rapport à il y a un an.
Mais les cybercriminels trouvent constamment des moyens ingénieux de passer sous le radar anti-abus de Google, et de nouveaux exemples de mauvaises publicités menant à des logiciels malveillants sont encore trop courants.
Par exemple, une recherche Google plus tôt cette semaine pour le programme gratuit de conception graphique Logiciel libre produit le résultat suivant, qui montre qu'une annonce "sponsorisée" en haut des résultats de recherche annonce le logiciel disponible sur freecad-us[.] org. Bien que ce site Web prétende être le site officiel de FreeCAD, cet honneur appartient au résultat directement ci-dessous-le légitime freecad.org.
Comment connaissons-nous freecad-us[.] org est malveillant? Un examen à DomainTools.com afficher ce domaine est le plus récent (enregistré en Janv. 19, 2024) de plus de 200 domaines à l'adresse Internet 93.190.143[.]252 qui sont confusément similaires aux titres de logiciels populaires, y compris projet dashlane [.] avec, filezillasoft[.] avec, gestionnaire de maintenance[.] avec, et libreofficeproject[.] avec.
Certains des domaines de cet hébergeur néerlandais ne semblent être guère plus que des sites Web de revues de logiciels qui volent du contenu à des sources d'informations établies dans le monde informatique, notamment Gartner, PCMonde, Barre Oblique et Technologie Radar.
Autres domaines au 93.190.143[.]252 servent des téléchargements de logiciels réels, mais aucun d'entre eux n'est susceptible d'être malveillant si l'on visite les sites via une navigation directe. Si l'on visite projet ouvert[.] organisation et télécharge une copie de la populaire application de gestion de bureau Windows Pluviomètre, par exemple, le fichier téléchargé a exactement la même signature de fichier que le véritable programme d'installation de Rainmeter disponible à partir de rainmeter.com.
Mais ce n'est qu'une ruse, dit Tom Hegel, chercheur principal sur les menaces au sein de l'entreprise de sécurité Sentinelle Un. Hegel traque ces domaines malveillants depuis plus d'un an, et il a déclaré que les sites de téléchargement de logiciels apparemment bénins deviendraient périodiquement diaboliques, échangeant des copies légitimes de titres de logiciels populaires avec des versions backdoor qui permettront aux cybercriminels de commander à distance les systèmes.
“Ils utilisent l'automatisation pour extraire du faux contenu, et ils alternent entre l'hébergement et l'hébergement de logiciels malveillants”, a déclaré Hegel, notant que les téléchargements malveillants ne peuvent être proposés qu'aux visiteurs provenant d'emplacements géographiques spécifiques, comme les États-Unis. “Dans les campagnes publicitaires malveillantes que nous avons vues liées à ce groupe, ils attendaient que les domaines gagnent en légitimité sur les moteurs de recherche, puis retournaient la page pendant environ un jour, puis revenaient en arrière.”
En février 2023, Hegel co-auteur d'un rapport sur ce même réseau, que Sentinel One a surnommé Malvirté (une pièce de théâtre sur le " malvertising”). Ils ont conclu que l'augmentation des publicités malveillantes usurpant divers produits logiciels était directement responsable d'une augmentation des infections par des logiciels malveillants provenant de chevaux de Troie infostealer tels que ICÉDIDE, Voleur de Ligne Rouge, Cahier de Formulaires et AuroraStéaler.
Hegel a noté que le pic de publicités sur le thème des logiciels malveillants est survenu peu de temps après Microsoft a commencé à bloquer par défaut les macros Office dans les documents téléchargés sur Internet. Il a déclaré que le volume des campagnes publicitaires malveillantes actuelles de ce groupe semble être relativement faible par rapport à il y a un an.
“Il semble que la même campagne se poursuive”, a déclaré Hegel. "En janvier dernier, chaque recherche Google sur "Autocad" a conduit à quelque chose de mauvais. Maintenant, c'est comme s'ils payaient Google pour obtenir une recherche sur une douzaine de recherches. Je suppose que cela continue à cause des hauts et des bas [des] domaines hébergeant des logiciels malveillants et qui semblent ensuite légitimes.”
Plusieurs des sites Web de cet hébergeur néerlandais (93.190.143[.]252) sont actuellement bloqués par la technologie de navigation sécurisée de Google et étiquetés avec un avertissement rouge bien visible indiquant que le site Web essaiera d'imposer des logiciels malveillants aux visiteurs qui ignorent l'avertissement et continuent.
Mais il reste un mystère de savoir pourquoi Google n'a pas bloqué de la même manière plus de 240 autres domaines sur ce même hôte, ou bien les a entièrement supprimés de son index de recherche. D'autant plus qu'il n'y a rien d'autre que ces domaines hébergés à cette adresse IP néerlandaise, et parce qu'ils sont tous restés à cette adresse depuis un an.
En réponse aux questions de KrebsOnSecurity, Google a déclaré que le maintien d'un écosystème publicitaire sûr et l'éloignement des logiciels malveillants de ses plateformes étaient une priorité pour Google.
” Les mauvais acteurs utilisent souvent des mesures sophistiquées pour dissimuler leur identité et échapper à nos politiques et à notre application, montrant parfois à Google une chose et aux utilisateurs autre chose", a déclaré Google dans une déclaration écrite. “Nous avons examiné les publicités en question, supprimé celles qui enfreignaient nos règles et suspendu les comptes associés. Nous continuerons de surveiller et d'appliquer nos protections.”
Google affirme avoir supprimé 5,2 milliards d'annonces en 2022, restreint plus de 4,3 milliards d'annonces et suspendu plus de 6,7 millions de comptes d'annonceurs. La société dernier rapport sur la sécurité des publicités selon Google, en 2022, 1,36 milliard de publicités ont été bloquées ou supprimées pour avoir enfreint ses règles en matière d'abus.
Certains des domaines référencés dans cette histoire ont été inclus dans le rapport de Sentinel One de février 2023, mais des dizaines d'autres ont été ajoutés depuis, tels que ceux usurpant les sites de téléchargement officiels pour Dessin Corel, Bureau sur Github, Roboform et Visionneuse d'équipe.
Ce rapport d'octobre 2023 sur le forum des utilisateurs de FreeCAD est venu d'un utilisateur qui a signalé avoir téléchargé une copie du logiciel à partir de freecadsoft[.] com après avoir vu le site promu en haut d'un résultat de recherche Google pour “freecad."Près d'un mois plus tard, un autre utilisateur de FreeCAD a signalé avoir été piqué par la même arnaque.
” Cela m'a attiré“, a écrit l'utilisateur du forum FreeCAD” Matterform " en novembre. 19, 2023. "Veuillez laisser un rapport à Google afin qu'il puisse le signaler. Ils ont payé Google pour les publications sponsorisées.”
Le rapport de Sentinel One n'a pas approfondi le “qui” derrière cette campagne de MalVirt en cours, et il y a de précieux indices qui indiquent une attribution. Tous les domaines en question ont été enregistrés via webnic.cc, et plusieurs d'entre eux affichent une page d'espace réservé indiquant que le site est prêt pour le contenu. L'affichage de la source HTML de ces pages d'espace réservé montre que de nombreux commentaires masqués dans le code sont en cyrillique.
Essayer de suivre les escrocs à l'aide des outils de transparence des annonces de Google n'a pas mené loin. L'enregistrement de transparence de l'annonce pour l'annonce malveillante mettant en vedette freecad-us[.] org (dans la capture d'écran ci-dessus) montre que le compte publicitaire utilisé pour payer l'annonce n'a diffusé qu'une seule annonce précédente via la recherche Google: Il annonçait un site Web de photographie de mariage en Nouvelle-Zélande.
Le propriétaire apparent de ce site Web de photographie n'a pas répondu aux demandes de commentaires, mais il est également probable que son compte publicitaire Google ait été piraté et utilisé pour diffuser ces publicités malveillantes.