Les campagnes de malvertising, ces attaques publicitaires malveillantes, représentent une menace croissante pour les utilisateurs et les entreprises, exploitant des plateformes légitimes comme Google Ads pour propager des escroqueries sophistiquées. Une récente campagne, révélée par les chercheurs en cybersécurité, cible spécifiquement les annonceurs via Google Ads, en utilisant des publicités frauduleuses pour voler leurs identifiants. Cette opération, décrite par Jérôme Segura, directeur senior de l’intelligence des menaces chez Malwarebytes, repose sur une ingénierie sociale redoutable, où les victimes sont redirigées vers de fausses pages de connexion conçues pour capturer leurs informations sensibles.
Une attaque bien orchestrée
Les cybercriminels, tels des prestidigitateurs malveillants, se servent de Google Ads pour afficher des annonces frauduleuses qui imitent celles de l’interface officielle. Une fois cliquées, ces publicités redirigent les victimes vers des pages Google Sites qui servent de tremplins vers des sites de phishing. Ces sites sont conçus pour capturer vos identifiants, y compris vos codes d’authentification à deux facteurs (2FA).
Ce stratagème n’est pas seulement un coup isolé. Les données volées permettent aux attaquants de prendre le contrôle des comptes publicitaires, d’ajouter de nouveaux administrateurs, et d’utiliser les budgets pour diffuser davantage de publicités frauduleuses. Vous devenez alors, sans le savoir, un rouage dans une machine qui cible d’autres victimes.
Des tactiques sophistiquées
Cette campagne ne se contente pas de simples redirections. Elle s’appuie sur des techniques avancées telles que le fingerprinting, la détection anti-bot, et l’utilisation de CAPTCHA leurres. Ces stratagèmes servent à masquer l’infrastructure de phishing et à rendre les sites malveillants indétectables.
L’astuce repose aussi sur une règle de Google Ads : le domaine affiché dans l’URL peut différer de celui de la page finale, à condition qu’ils partagent le même domaine principal. Cela permet aux criminels d’héberger leurs pages intermédiaires sur sites.google.com, tout en affichant une URL apparemment légitime telle que ads.google.com.
Une menace mondiale
Les chercheurs ont découvert que cette campagne est menée principalement par des groupes parlant portugais, probablement basés au Brésil. Les domaines utilisés pour héberger les pages de phishing incluent des extensions spécifiques, comme le .pt (indicatif du Portugal).
Cette menace rappelle des attaques similaires où des outils comme NodeStealer ont été utilisés pour pirater des comptes professionnels sur Facebook et mener des campagnes publicitaires frauduleuses. Ces campagnes exploitent également des contrats intelligents Ethereum pour distribuer des adresses de commande et de contrôle (C2).
Les efforts de Google pour contrer la menace
Consciente de ces attaques, Google affirme surveiller activement son réseau publicitaire. En 2023, l’entreprise a supprimé plus de 3,4 milliards d’annonces, restreint 5,7 milliards d’autres, et suspendu 5,6 millions de comptes annonceurs. Malgré ces efforts, la campagne en question montre que des failles subsistent, notamment dans la vérification des URLs et la surveillance des annonces publiées.
Un porte-parole de Google a précisé : « Nous interdisons expressément les publicités visant à tromper les utilisateurs pour voler leurs informations. Nos équipes enquêtent activement pour résoudre ce problème. »
Des techniques d’évasion de plus en plus complexes
Ces campagnes utilisent des plateformes réputées comme YouTube, SoundCloud, ou des services d’hébergement tels que Mediafire et Mega.nz. Ces services sont détournés pour dissimuler l’origine des malwares et rendre leur détection plus difficile. Les fichiers malveillants, souvent protégés par mot de passe et encodés, compliquent l’analyse dans des environnements de sécurité comme les sandboxes.
Comment protéger vos comptes et vos campagnes ?
Vous vous demandez sûrement comment éviter de tomber dans de tels pièges. Voici quelques conseils :
- Vérifiez les URLs : Soyez attentif aux liens sur lesquels vous cliquez, même s’ils semblent venir de Google.
- Renforcez votre sécurité : Activez l’authentification à deux facteurs et surveillez les activités inhabituelles sur vos comptes.
- Analysez vos annonces : Si vous gérez des campagnes, auditez régulièrement vos annonces pour détecter toute activité suspecte.
- Restez informé : Suivez les rapports sur les menaces émergentes pour adapter vos pratiques de sécurité.
En prenant ces mesures, vous pourrez renforcer vos défenses et éviter de devenir une victime de ce type d’attaques sophistiquées.
