Des experts en cybersécurité ont repéré de nombreux liens sponsorisés se faisant passer pour Slack, Microsoft ou LibreOffice. Ces sites clones cachent des logiciels de vol de données.

Prudence lorsque vous naviguez sur Google. Les premiers liens que vous voyez lors d’une recherche sont généralement des sites sponsorisés, qui ont payé pour être placé tout en haut du moteur. Or, il y a une chance que ces derniers ne soient que des plateformes factices créées par des pirates informatiques pour vous piéger.

De nombreux experts en cyber alertent les internautes sur les réseaux sociaux : des stealers — un cheval de Troie qui subtilise des informations — se cachent dans ces fameux liens publics. Germán Fernández, expert chez CronUp, est l’un des premiers à avoir analysé cette campagne le 21 janvier, suivi de MalwareHunterTeam, un compte spécialisé dans le signalement de logiciels malveillants.

La campagne en cours se focalise sur des logiciels populaires, sur lesquels il y a le potentiel le plus élevé de recherches… et donc de victimes. Les malfaiteurs mettent en place des sites clones de Slack, Microsoft Teams, TeamViewer, LibreOffice, Adobe ou encore AnyDesk, pour ne citer que quelques exemples.

Un site clone du logiciel gratuit de traitement de texte LibreOffice // Source : MalwareHunterTeam
Un site clone du logiciel libre et gratuit de traitement de texte LibreOffice. // Source : MalwareHunterTeam
Un lien sponsorisé se faisant passer pour Nvidia, un groupe spécialisé dans les processeurs et les cartes graphiques. // Source : MalwareHunterTeam
Un lien sponsorisé se faisant passer pour Nvidia, le spécialiste des cartes graphiques. // Source : MalwareHunterTeam

Une campagne active depuis un an

En cliquant sur les publicités, les visiteurs sont dirigés vers un portail de téléchargement pour installer les programmes frauduleux. Les chercheurs ont repéré une multitude de logiciels malveillants populaires chez les hackers — Redline Stealer, Vidar, IcedID, Aurora — et un ransomware. Les stealers sont utilisés pour exfiltrer les données rapidement, fouillant dans les cookies et les gestionnaires de mot de passe pour dérober tous les identifiants possibles.

Ces campagnes ne sont pas nouvelles et font l’objet d’un suivi par les experts depuis près d’un an. Le lancement de liens contenant des stealers date d’automne 2022. De nombreux pirates ont adopté ce mode opératoire pour tendre des pièges et s’échangent des techniques sur les forums dédiés aux hackers.

Un appel à collaborer entre pirates sur Google depuis un forum. // Source : German Fernandez
Un appel à collaborer entre pirates sur Google depuis un forum. // Source : German Fernandez

Si un site vous paraît suspect, il est possible de le signaler à Google en cliquant sur la flèche grise à droite du lien. Le moteur de recherche se chargera de l’analyser et de prendre des mesures, si nécessaire.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.