Attention, cette annonce Google pourrait récupérer vos données bancaires à votre insu

Hibou Gourou

Utiliser les publicités Google pour placer leurs sites malveillants en haut de la page de résultats est une astuce que les cybercriminels utilisent trop souvent. Le dernier exemple en date est un faux site Web Homebrew qui utilise un voleur d'informations pour récupérer les données personnelles, l'historique du navigateur, les informations de connexion et les données bancaires de victimes sans méfiance.

Repérée par Ryan Chenkie sur X et signalée par BleepingComputer , la publicité Google malveillante affiche même l'URL Homebrew correcte «brew.sh», il n'y a donc aucun moyen réel de repérer l'astuce avant de cliquer.

Pour tous ceux qui ont cliqué, l’annonce les a redirigés vers un clone du site hébergé sur « Brewe.sh », révélant l’URL incorrecte. Selon une réponse au message X de Logan Kilpatrick de Google, l'annonce a maintenant été supprimée – vous n'avez donc pas à vous inquiéter si vous lisez ceci. Cependant, Chenkie et nombre de ses commentateurs ont été surpris et confus par la capacité de l'annonce à afficher la bonne URL même si elle ne correspondait pas à la destination du lien.

Il semble que cette stratégie soit appelée « masquage d'URL » et Google a déclaré à BleepingComputer que cela se produit parce que « les acteurs de la menace échappent à la détection en créant des milliers de comptes simultanément et en utilisant la manipulation de texte et le masquage pour montrer aux réviseurs et aux systèmes automatisés différents sites Web qu'un visiteur régulier aurait vu. voir."

De toute évidence, beaucoup de travail est en cours pour inciter Google à faire cela, ce qui signifie que cela pourrait être un problème difficile à résoudre pour Google. À l’heure actuelle, l’entreprise « augmente l’échelle de ses systèmes automatisés et de ses examinateurs humains » pour tenter de lutter contre le problème, ce qui semble certainement coûteux.

Il est possible que cette technique de masquage d'URL permette aux cybercriminels de cibler beaucoup plus facilement des sites Web comme Homebrew. En tant que système de gestion de progiciels pour macOS et Linux, son public est quasiment assuré d'être plus compétent que l'acheteur en ligne moyen et ne tomberait probablement pas dans le piège d'une annonce affichant de manière flagrante une URL incorrecte.

L'infostealer utilisé dans cette campagne a été identifié par le chercheur en sécurité JAMESWT comme étant AmosStealer (également connu sous le nom d'Atomic), et il est spécialement conçu pour les systèmes macOS. Développé à l'aide de Swift, le malware peut s'exécuter à la fois sur les appareils Intel et Apple Silicon et est vendu aux cybercriminels sous la forme d'un abonnement de 1 000 $ par mois.

Si vous êtes préoccupé par des campagnes de logiciels malveillants comme celle-ci, vous pouvez prendre certaines mesures pour rester en sécurité. Tout d'abord, en plus de vérifier l'URL affichée d'une annonce avant de cliquer, c'est désormais une bonne idée de vérifier l'URL de la page une fois son chargement. N'oubliez pas qu'un seul personnage doit être différent, alors assurez-vous de faire plus que simplement lui jeter un coup d'œil.

Une autre façon d'éviter la propagation des logiciels malveillants par les publicités Google consiste à arrêter de cliquer sur les publicités Google. Si vous recherchez un site spécifique, la version normale sera toujours incluse dans les résultats ci-dessous, alors ignorez complètement l'annonce et évitez ainsi les problèmes. Sinon, si vous voyez une annonce qui vous intéresse, recherchez le nom de l'entreprise ou du produit dont elle fait la promotion plutôt que de cliquer directement sur l'annonce.

Enfin, s’il ne s’agit là que d’un des nombreux désagréments liés à Google, vous pouvez toujours envisager de mettre Google à la porte. Les moteurs de recherche axés sur une meilleure confidentialité, tels que DuckDuckGo ou Qwant en Europe, sont des alternatives viables si vous souhaitez essayer quelque chose de nouveau.