Des experts en cybersécurité ont repéré de nombreux liens sponsorisés se faisant passer pour Slack, Microsoft ou LibreOffice. Ces sites clones cachent des logiciels de vol de données.

Prudence lorsque vous naviguez sur Google. Les premiers liens que vous voyez lors d’une recherche sont généralement des sites sponsorisés, qui ont payé pour être placé tout en haut du moteur. Or, il y a une chance que ces derniers ne soient que des plateformes factices créées par des pirates informatiques pour vous piéger.

De nombreux experts en cyber alertent les internautes sur les réseaux sociaux : des stealers — un cheval de Troie qui subtilise des informations — se cachent dans ces fameux liens publics. Germán Fernández, expert chez CronUp, est l’un des premiers à avoir analysé cette campagne le 21 janvier, suivi de MalwareHunterTeam, un compte spécialisé dans le signalement de logiciels malveillants.

La campagne en cours se focalise sur des logiciels populaires, sur lesquels il y a le potentiel le plus élevé de recherches… et donc de victimes. Les malfaiteurs mettent en place des sites clones de Slack, Microsoft Teams, TeamViewer, LibreOffice, Adobe ou encore AnyDesk, pour ne citer que quelques exemples.

Un site clone du logiciel gratuit de traitement de texte LibreOffice // Source : MalwareHunterTeam
Un site clone du logiciel libre et gratuit de traitement de texte LibreOffice. // Source : MalwareHunterTeam
Un lien sponsorisé se faisant passer pour Nvidia, un groupe spécialisé dans les processeurs et les cartes graphiques. // Source : MalwareHunterTeam
Un lien sponsorisé se faisant passer pour Nvidia, le spécialiste des cartes graphiques. // Source : MalwareHunterTeam

Une campagne active depuis un an

En cliquant sur les publicités, les visiteurs sont dirigés vers un portail de téléchargement pour installer les programmes frauduleux. Les chercheurs ont repéré une multitude de logiciels malveillants populaires chez les hackers — Redline Stealer, Vidar, IcedID, Aurora — et un ransomware. Les stealers sont utilisés pour exfiltrer les données rapidement, fouillant dans les cookies et les gestionnaires de mot de passe pour dérober tous les identifiants possibles.

Ces campagnes ne sont pas nouvelles et font l’objet d’un suivi par les experts depuis près d’un an. Le lancement de liens contenant des stealers date d’automne 2022. De nombreux pirates ont adopté ce mode opératoire pour tendre des pièges et s’échangent des techniques sur les forums dédiés aux hackers.

Un appel à collaborer entre pirates sur Google depuis un forum. // Source : German Fernandez
Un appel à collaborer entre pirates sur Google depuis un forum. // Source : German Fernandez

Si un site vous paraît suspect, il est possible de le signaler à Google en cliquant sur la flèche grise à droite du lien. Le moteur de recherche se chargera de l’analyser et de prendre des mesures, si nécessaire.

une comparateur meilleur gestionnaire mdp numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !