De nouvelles recherches sur Google Hacks poussent les virus et le porno

Trois incidents démontrent comment les cybercriminels tirent parti du fléau de l'optimisation des moteurs de recherche black-hat pour manipuler les résultats de recherche: les ordinateurs peuvent être piratés, les smartphones peuvent être jailbreakés et les appareils Internet des objets dans une maison intelligente sont des fruits à portée de main pour les attaquants à distance.

Et il s'avère que les moteurs de recherche sont également vulnérables en raison d'imperfections algorithmiques ou d'exploits zero-day dont les fournisseurs ne sont pas conscients. Des cybercriminels bien motivés et techniquement compétents, disposant de beaucoup de temps et des bons outils, peuvent tromper ces systèmes à volonté. En fait, c'est ce qui se passe sans cesse dans ce domaine.

De nouvelles recherches sur Google Hacks poussent les virus et le porno

Google, le poids lourd de la recherche au monde avec des technologies de pointe en son sein, est dans le même bateau. Le fléau de l'optimisation des moteurs de recherche black-hat (SEO) domine l'écosystème des méthodes utilisées pour manipuler la logique de recherche du géant de la technologie et polluer ses résultats avec un contenu douteux.

Ces trois incidents démontrent comment les cybercriminels peuvent tirer profit de la moindre opportunité de contourner les contre-mesures de Google en matière de délit.

Applications nuisibles se propageant via des sites compromis

Une technique classique pour améliorer les classements de recherche d'un site Web chargé de logiciels malveillants consiste à alimenter son autorité en ligne avec des backlinks puissants obtenus d'une manière contraire à l'éthique. Alors que les algorithmes de Google deviennent de plus en plus sophistiqués au fil du temps, il devient de plus en plus difficile pour les escrocs de réussir cette astuce à l'ancienne. Au lieu d’emprunter cette voie, certains escrocs abusent des sites Web de confiance qui figurent déjà en bonne place dans les résultats de recherche.

Un canular de ce genre a été repéré en août. Pour le mettre en mouvement, des fraudeurs ont compromis une série de sites Web utilisés par le gouvernement fédéral américain, des collèges populaires et des organisations internationales.

Les ressources gouvernementales touchées par les acteurs de la menace comprenaient des sites pour le Colorado, le Minnesota, San Diego et le National Cancer Institute. Les attaquants ont également pris le contrôle des sites officiels de l'UNESCO, de l'Université de Washington, de l'Université de l'Iowa, de l'Université du Michigan et d'autres.

Ces raids n'étaient cependant qu'un moyen de parvenir à une fin. Les criminels ont mal géré leur implantation sur ces sites pour publier des articles sur le piratage de différents comptes de réseaux sociaux. Le site de l'UNESCO, par exemple, contenait un article sur la violation du compte Instagram de tout utilisateur en deux minutes.

Étant donné que les ressources compromises disposent d'une autorité de domaine élevée, le contenu sommaire publié sur elles s'est retrouvé sur la première page de Google. Une fois visités, ces articles appâteraient les utilisateurs avec des liens supposés menant au logiciel de piratage recherché, mais avec une mise en garde. Pour déverrouiller la fonctionnalité de forçage brutal des mots de passe

De manière assez prévisible, le lien redirigerait les pirates en herbe vers des fraudes en ligne visant à éliminer les détails de leur carte de crédit et d'autres données sensibles. Plus inquiétant encore, des scripts furtifs sur certaines des pages résultantes déposaient des logiciels malveillants sur les ordinateurs des visiteurs.

Le point d'entrée des attaques se résumait principalement à des failles connues dans les principaux systèmes de gestion de contenu. Par exemple, le module Webform, un générateur de formulaires et un gestionnaire de soumission très populaire pour Drupal, a été exploité dans certains de ces incidents.

Cela dit, il est assez déconcertant de constater que les sites Web utilisés par des organisations gouvernementales et éducatives de haut niveau ont des trous béants qui en font des fruits à portée de main.

Redirection des sites du gouvernement fédéral vers des pages pour adultes

En juillet, des analystes de sécurité ont mis au jour une campagne de référencement black-hat reposant sur une astuce intelligente pour empoisonner les résultats de recherche Google avec des liens vers des sites pornographiques. Cette exploitation s'appuie sur le bogue Open Redirect, également connu sous le nom de Redirections et transferts non validés, une faille notoire utilisée pour orchestrer les escroqueries en ligne et les attaques de phishing pendant des années. Il permet à un mauvais acteur de créer une URL de contrefaçon qui ressemble à un nom de domaine de confiance affiché sur Google et donne ainsi aux utilisateurs un faux sentiment de sécurité.

Cependant, lorsqu'un utilisateur clique involontairement sur ce lien, il déclenche une redirection vers un site non autorisé au lieu du site légitime. Voici une illustration de ce à quoi un tel lien peut ressembler: hxxps: //www.benign-page.gov/login.html ? RelayState = hxxp: //hacker-page.com. La chaîne .gov est la seule reflétée dans les résultats de recherche. Sans surprise, il ne déclenche pas de sonnette d'alarme.

Dans ce canular, les malfaiteurs ont camouflé leurs liens sous forme d'URL utilisées par plusieurs dizaines de sites gouvernementaux fédéraux et locaux. De cette façon, des utilisateurs sans méfiance se sont retrouvés sur des pages Web pour adultes, et les ne'er-do-wells ont probablement reçu une récompense d'affiliation pour chaque redirection.

Certaines des ressources de haut niveau imitées dans cette campagne particulière comprennent des sites pour le Kentucky Board of Home Inspectors, le Sénat de l'État de Louisiane et le National Weather Service, pour n'en nommer que quelques-uns.

Thème Coronavirus utilisé comme leurre

En février, des chercheurs d'Imperva ont découvert une campagne douteuse qui tire profit de la peur du COVID-19 pour faire passer le SEO black-hat de ses opérateurs au niveau supérieur pendant la pandémie. Les escrocs ont généré d'énormes quantités de spam de commentaires pour promouvoir de fausses pharmacies en ligne.

Pour améliorer le classement Google de ces pharmacies Internet voyous, leurs propriétaires exploitent des robots qui inondent de nombreux sites de commentaires criblés de liens vers ces marchés. Les forums liés aux soins de santé sont les plus ciblés.

Les spammeurs profitent de ces nombreux commentaires de plusieurs manières. Le plus évident est que de nombreuses personnes peuvent cliquer sur les liens par curiosité, pour se retrouver sur un site qui annonce des répliques sans valeur de médicaments d'ordonnance populaires. Un autre avantage est plus complexe. Les sites Web mal gérés par les fraudeurs ont de nombreuses occurrences de mots-clés liés au coronavirus qui sont à la mode ces jours-ci, et le moteur de recherche est donc susceptible de les classer en haut. Les sites liés gagnent également des scores d'autorité supplémentaires.

Le jeu du chat et de la souris

Aucun autre moteur de recherche ne peut être à la hauteur de Google en termes d'audience d'utilisateurs. La raison est claire: il renvoie des résultats pertinents, peu importe ce que vous lui demandez. Il est indéniable que ses algorithmes sont inégalés, mais même ainsi, il ne peut pas tirer le bouchon des schémas de référencement black-hat.

Les campagnes ci-dessus montrent que les acteurs menaçants peuvent déjouer un système, aussi sophistiqué soit-il. Il n'est pas surprenant que le géant de la recherche redouble d'efforts pour éliminer ces fraudes. Espérons que les escrocs commenceront à être à la traîne plutôt que d'avoir une longueur d'avance sur ces initiatives dans un proche avenir.

David Balaban est un chercheur en sécurité informatique avec plus de 17 ans d'expérience dans l'analyse de logiciels malveillants et l'évaluation de logiciels antivirus. David dirige des projets MacSecurity y compris … Voir la bio complète Lecture recommandée:Plus d'informations

Array

Tags: , , ,