Des hackers ont fait la promotion de faux sites usurpant le service Google Authenticator, directement sur Google.

Google piégé par de fausses pubs Google. Un rapport publié le 30 juillet 2024 par la société de cybersécurité Malwarebytes révèle une campagne de phishing qui usurpe l’application Google Authenticator. Cette application permet d’instaurer la double authentification pour se connecter à ses comptes, en ajoutant une seconde couche de protection lorsque vous vous connectez à un compte de réseaux sociaux ou de messagerie, par exemple.

Les cybercriminels ont exploité des erreurs de sécurité déjà connues sur le moteur de recherche. Google accorde ses emplacements publicitaires à des millions de sociétés et certaines, plus frauduleuses que d’autres, parviennent à tromper le géant de la tech.

Ainsi, lorsqu’on cherchait l’app Google Authenticator, on pouvait tomber sur un faux site sponsorisé sur les premières lignes de résultats.

Des sites sponsorisés sur Google

En cliquant sur ces fausses publicités Google Authenticator, l’internaute est redirigé sur des sites clones de l’app.

Des liens frauduleux sponsorisés par Google. // Source : MalwareBytes

L’adresse frauduleuse « chromeweb-authenticators[.]com » laisse croire à l’intéressé qu’il est au bon endroit. Si ce dernier télécharge le prétendu fichier, il installera sur son ordinateur un logiciel malveillant, baptisé DeerStealer. Ce malware fonctionne comme n’importe quel autre stealer : il s’infiltre dans l’ordinateur et plus particulièrement dans le gestionnaire de mots de passe Google pour dérober toutes les données, mots de passe compris.

Un site clone de Google Authenticator. // Source : MalwareBytes

« Il est important de noter que Google Authenticator est un outil bien connu et de confiance pour l’authentification à plusieurs facteurs, ce qui rend encore plus ironique le fait que des victimes potentielles soient compromises en essayant d’améliorer leur sécurité. Nous recommandons d’éviter de cliquer sur des annonces pour télécharger des logiciels et de visiter directement les référentiels officiels », peut-on lire dans le rapport.

Les faux sites sont actuellement inactifs, mais d’autres campagnes seront probablement lancées.

