Des cybercriminels exploitent des annonces Google pour tromper les utilisateurs et les diriger vers un faux site Homebrew malveillant. Ce dernier collecte des données sensibles via un infostealer, rendant difficile la détection grâce à des URL trompeuses. La vigilance face aux publicités est plus que jamais essentielle.
Utiliser des annonces Google pour propulser leurs sites malveillants en tête des résultats de recherche est une ruse souvent employée par les cybercriminels. Le dernier exemple en date est un faux site Homebrew qui utilise un infostealer pour voler des données personnelles, l’historique de navigation, les informations de connexion et les données bancaires d’internautes pris au piège.
Dénoncé par Ryan Chenkie sur X et rapporté par BleepingComputer, l’annonce malveillante Google affiche même l’URL correcte de Homebrew, “brew.sh”, rendant difficile la détection de l’escroquerie avant de cliquer.
⚠️ Développeurs, soyez prudents lors de l’installation de Homebrew.
Google diffuse des liens sponsorisés vers un clone du site Homebrew qui contient une commande cURL pour du malware. L’URL de ce site diffère d’une lettre de celle du site officiel. pic.twitter.com/TTpWRfqGWo
— Ryan Chenkie (@ryanchenkie) 18 janvier 2025
Pour ceux qui ont cliqué, l’annonce les a redirigés vers un clone du site hébergé à “brewe.sh”, révélant ainsi l’URL incorrecte. Selon une réponse à la publication X de Logan Kilpatrick de Google, l’annonce a maintenant été supprimée ; donc pas d’inquiétude si vous lisez cela. Cependant, Chenkie et de nombreux commentateurs étaient surpris et déconcertés par la capacité de l’annonce à afficher la bonne URL, malgré le fait qu’elle ne correspondait pas à la destination du lien.
Il semble que cette stratégie soit appelée “url cloaking”. Google a déclaré à BleepingComputer que cela se produit parce que “les acteurs malveillants échappent à la détection en créant des milliers de comptes simultanément et en utilisant la manipulation de texte et le camouflage pour montrer aux examinateurs et aux systèmes automatisés des sites différents de ceux qu’un visiteur régulier verrait.”
Il est clair qu’un véritable effort est nécessaire pour tromper Google de cette manière, ce qui signifie que cela pourrait s’avérer être un problème difficile à résoudre pour l’entreprise. Actuellement, la société “augmente l’échelle de ses systèmes automatisés et de ses examinateurs humains” pour tenter de lutter contre ce problème, ce qui semble certainement coûteux.
Il est possible que cette technique de camouflage d’URL facilite considérablement la tâche des cybercriminels ciblant des sites comme Homebrew. En tant que système de gestion de paquets logiciels pour macOS et Linux, son public est garanti d’être plus averti que le consommateur en ligne moyen et probablement moins enclin à se laisser piéger par une annonce affichant une URL manifestement incorrecte.
L’infostealer utilisé dans cette campagne a été identifié par le chercheur en sécurité JAMESWT comme étant AmosStealer (également connu sous le nom d’Atomic), et il est spécifiquement conçu pour les systèmes macOS. Développé en Swift, le malware peut fonctionner sur des appareils Intel et Apple Silicon et il est vendu aux cybercriminels sous forme d’abonnement à 1 000 €/mois.
Si vous êtes inquiet au sujet de campagnes de malware comme celle-ci, il existe quelques précautions à prendre pour rester en sécurité. Premièrement, en plus de vérifier l’URL affichée d’une annonce avant de cliquer, il est désormais judicieux de vérifier l’URL de la page une fois qu’elle est chargée. Rappelez-vous qu’il suffit qu’un seul caractère soit différent, alors assurez-vous de faire plus qu’un simple coup d’œil.
Une autre manière d’éviter la propagation de malware via des annonces Google consiste à ne pas cliquer sur les annonces Google. Si vous recherchez un site spécifique, la version normale sera toujours incluse dans les résultats ci-dessous, donc il est préférable de sauter l’annonce complètement pour éviter des problèmes de cette manière. Sinon, si vous voyez une annonce qui vous intéresse, recherchez le nom de la société ou du produit qu’elle promeut au lieu de cliquer directement sur l’annonce.
Enfin, si cela ne représente qu’un aspect de votre désagrément vis-à-vis de Google, vous pouvez toujours envisager de vous tourner vers d’autres options. Des moteurs de recherche axés sur une meilleure protection de la vie privée, comme DuckDuckGo ou Qwant en Europe, sont des alternatives viables si vous souhaitez essayer quelque chose de nouveau.