Méfiance lorsque vous tentez d’accéder à la page de téléchargement d’un logiciel via Google Ads. Des pirates peuvent y cacher de dangereux malwares. Ces jours-ci, c’est l’application de visioconférence WebEx qui sert de couverture aux malfrats.
Google et ses différentes émanations sont des cibles privilégiées pour les pirates. Le Play Store laisse régulièrement passer des applications vérolées. Google Chrome n’est pas épargné non plus comme en témoigne la menace récente du malware CryptBot. Et alors que beaucoup d’utilisateurs s’en servent les yeux fermés, il s’avère que la partie publicités du moteur de recherche est également un nid à problèmes.
Malwarebytes révèle que Google Ads est utilisé pour propager des logiciels malveillants. Dernièrement, des malfaiteurs ont acheté une publicité qui usurpe l’identité de la marque Cisco, connue pour son célèbre logiciel de visioconférence WebEx. Et cette annonce frauduleuse s’affiche en haut des résultats !
Malware DanaBot sur Google : que risquez-vous ?
Voici comment le piège se referme sur les utilisateurs :
Google exige que l’URL affichée par une publicité appartienne au même domaine que l’URL de destination finale. Or le modèle de suivi peut être exploité pour rediriger les utilisateurs vers une autre URL. Dans le cas qui nous intéresse, les malfrats utilisent le lien malveillant « trixwe.page.link » dans le modèle de suivi. L’URL finale est quant à elle répertoriée comme « webex.com ».
Dans le détail, les internautes croient avoir cliqué sur le lien officiel mais ils sont déportés vers le site malveillant. Précautionneux, les pirates se sont même arrangés pour filtrer les personnes hameçonnées. Via des contrôles, il repèrent les chercheurs en cybersécurité utilisant un mécanisme de bac à sable. Et les renvoient vers le site WebEx légitime.
Les utilisateurs ciblés sont quant à eux redirigés vers le site « webexadvertisingoffer[.]com ». Une page frauduleuse qui abrite des faux liens de téléchargement pour WebEx. En cliquant dessus, vous déclencherez l’installation de BatLoader qui se fera un plaisir de lâcher le malware DanaBot. Il s’agit d’un cheval de Troie bancaire capable de voler des mots de passe, de prendre des captures d’écran ou encore de charger des modules de ransomware.
Comment se protéger du malware DanaBot ?
Lorsque vous cherchez à télécharger un logiciel, il est vivement recommandé de zapper les résultats sponsorisés et d’accéder directement au site officiel du fabricant. Vous pouvez aussi cliquer sur les trois petits points pour vérifier la provenance de l’annonceur. Dans le cas du jour, il est localisé au Mexique. De quoi mettre la puce à l’oreille, WebEx étant une entreprise américaine.
Google a indiqué à BleepingComputer avoir pris les dispositions nécessaires pour mettre la campagne malveillante hors d’état de nuire. Après avoir tapé le mot-clé WebEx sur le moteur de recherche, nous n’avons effectivement pas trouvé trace d’elle.
Il ne faut pas baisser la garde pour autant. DanaBot et d’autres programmes malveillants risquent de se cacher dans d’autres pans de Google Ads. Il y a quelques mois, un malware voleur de données avait d’ailleurs déjà été découvert dans une annonce frauduleuse mise en avant par le moteur de recherche.