Les alertes Google continuent d'être un foyer d'escroqueries et de logiciels malveillants

Les alertes Google continuent d’être un foyer d’escroqueries et de logiciels malveillants dont les auteurs de menaces abusent de plus en plus pour promouvoir des sites Web malveillants.

Alors que Google Alertes a été abusé pendant longtemps, BleepingComputer a remarqué une augmentation significative de l’activité au cours des deux dernières semaines.

Par exemple, j’utilise Google Alertes pour surveiller divers termes liés aux cyberattaques, aux incidents de sécurité, aux logiciels malveillants, etc. Dans une alerte Google en particulier, presque chaque nouvel article partagé avec moi aujourd’hui par le service a conduit à une escroquerie ou à un site Web malveillant, avec deux d’entre eux présentés ci-dessous.

Exemple d’alertes Google pour de faux articles

Lorsque vous ouvrez ces alertes, au lieu d’être redirigé vers une page Web légitime, vous êtes redirigé vers une série de sites jusqu’à ce que vous tombiez sur un logiciel de promotion de logiciels malveillants, de faux sites pour adultes, de fausses applications de rencontres, des jeux pour adultes, des escroqueries par concours et par loterie, et extensions de navigateur.

Site faisant la promotion d’un faux Flash Player mais installe une extension de navigateur

Malheureusement, même si vous configurez votre alerte Google uniquement pour vous montrer les meilleurs résultats, les alertes d’escroquerie se faufilent souvent uniquement pour être détectées lorsque vous les ouvrez.

Comment fonctionnent les escroqueries Google Alertes?

Pour tromper Google en lui faisant croire qu’il s’agit de sites légitimes plutôt que d’arnaques, les acteurs de la menace utilisent une technique d’optimisation des moteurs de recherche (SEO) black hat appelée «cloaking».

Le masquage est lorsqu’un site Web affiche un contenu différent aux visiteurs de celui des araignées des moteurs de recherche.

Cette dissimulation permet au site Web de ressembler à un texte brut ou à un article de blog typique lorsque les robots des moteurs de recherche de Google visitent la page, mais effectuent des redirections malveillantes lorsqu’un utilisateur visite le site à partir d’une redirection Google.

Par exemple, si vous ou l’araignée GoogleBot visitez directement la page Web, le site affichera un mur de texte avec une densité de mots clés élevée pour les termes qu’ils tentent de classer. À partir du texte ci-dessous, vous pouvez voir que l’acteur de la menace utilise beaucoup de mots-clés de cybersécurité pour bien cibler cette catégorie.

Site frauduleux affichant du texte lors de la visite d’un agent utilisateur GoogleBot

Cependant, lorsqu’un utilisateur accède au site via une URL d’alerte Google, il sera redirigé vers des sites malveillants poussant des logiciels malveillants ou des escroqueries.

Par exemple, lors de l’ouverture de l’un des liens Google Alertes dans Firefox, le lien m’a redirigé vers une page faisant la promotion d’un logiciel appelé «YoutubeToMP3», qui contient 24/69 détections VirusTotal.

Site faisant la promotion d’un téléchargement malveillant

Après l’installation du logiciel malveillant, un navigateur Chromium sans tête est lancé en arrière-plan, effectuant une activité suspecte tout en utilisant 27% du processeur.

YoutubeToMP3 utilisant 27% du CPU

Comme Google ne voit jamais la redirection vers des sites malveillants, la page Web est ajoutée à l’index de recherche et une alerte Google est déclenchée à toute personne qui surveille ces mots-clés.

Ceux qui reçoivent l’alerte ne sauront jamais que l’URL est malveillante jusqu’à ce qu’ils visitent le site ou que leur antivirus installé bloque l’URL.

Tags: