Quand les pirates se tournent vers le SEO pour propager des malwares

16 juin 2021 à 10h48
3
Hacker Cellmate

Microsoft prévient que des pirates utilisent des techniques du SEO pour propager des PDF malveillants.

Ce n'est pas la première fois qu'ils se servent du SEO à leur avantage puisqu'en avril, eSentire avait déjà alerté sur la création de pages web optimisées pour apparaître en bonne place dans les résultats de recherche de Google.

100 000 sites web ont été créés pour piéger des victimes

En avril, eSentire, une entreprise de sécurité informatique, a indiqué avoir trouvé plus de 100 000 pages web hébergées sur Google Sites et créées pour piéger des professionnels. Elles utilisaient des mots-clés très recherchés, comme template, invoice (facture), receipt (reçu), questionnaire ou resume (CV), en promettant de fournir des formulaires gratuitement.

Grâce à cette technique, les robots d'indexation de Google pensaient avoir affaire à des sites légitimes et possédant toutes les qualités pour être classés haut dans les résultats de recherche. Une fois que les victimes cliquaient pour tenter de télécharger le document en question, elles étaient redirigées plusieurs fois avant d'arriver sur un site contrôlé par les attaquants qui leur proposait d'autres boutons pour accéder au téléchargement.

Cliquer sur l'un de ces boutons installait un exécutable, déguisé en PDF ou en document Word, contenant le malware SolarMarker, ainsi que le lecteur de PDF SlimPDF, qui est un logiciel légitime, afin de distraire la victime. Si aucune action concrète n'est détectée à la suite de l'installation de ce malware, en théorie, il permet aux attaquants d'installer de nouveaux malwares, que ce soit des ransomwares ou des trojan bancaires, ou d'accéder aux réseaux des victimes pour voler leurs identifiants.

Une nouvelle méthode utilisant des PDF remplis de mots-clés

Microsoft a depuis détecté de nouvelles attaques utilisant le même malware, mais avec une technique un peu différente. Celle-ci repose toujours sur l'optimisation SEO, mais cette fois en utilisant des PDF hébergés sur AWS (Amazon Web Services) et Strikingly. Ces documents sont formés d'une dizaine de pages contenant uniquement des mots-clés et visent cette fois d'autres domaines, comme la finance et l'éducation.

Ils continuent de rediriger leurs victimes sur 5 à 7 sites, avant de les faire atterrir sur une page web imitant Google Drive sur laquelle ils leur proposent de télécharger le fichier. Microsoft indique que cette fois, ils alternent entre l'installation du malware et l'installation de fichiers quelconques afin d'échapper à la détection. L'entreprise a ajouté que cette technique de manipulation du SEO reste efficace, puisque Windows Defender a détecté et bloqué des milliers de ces documents infectés. Comme d'habitude, la méfiance reste de mise lorsqu'il s'agit de PDF provenant de sites inconnus.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
3
4
Orko
Merci pour cet article.
Pronimo
Le problème semble que ce soit un lecteur PDF qui installe le malware et qui donc sur le coup est très permissif niveaux droits Windows… Du coup, si le malheureux télécharge un PDF infectée et l’ouvre dans un navigateur, il s’en tirera de justesse. La morale, éviter d’installer des logiciels tiers, surtout que Windows par défaut fait déjà presque tout XD
pecore
C’est une morale très personnelle. Les logiciels tiers offrent souvent des choses en plus que les logiciels intégrés. Même si ce n’était pas le cas, il est toujours bon d’avoir le choix ou plus exactement, il est mauvais de ne pas l’avoir.
Voir tous les messages sur le forum

Derniers actualités

Au Nebraska, Facebook transmet à la police les messages privés d'une jeune fille suspectée d’avortement illégal
Avec ce code promo ce PC portable devient encore moins cher
Voilà un prix plus qu'intéressant pour ce SSD Crucial de 1To
Le clavier sans fil Logitech POP Keys profite d'une belle promotion en ce moment
L'offre de RED sur son forfait mobile 80Go est toujours disponible !
Xiaomi présente lui aussi son robot humanoïde, mais dans quel but ?
Cet antivirus constitue une belle opportunité de protéger votre Mac !
Pour fêter le lancement de ses nouveaux produits, Samsung sort le grand jeu !
En 2023, la voiture la plus vendue au monde pourrait être une électrique !
Reddit débarque (vraiment) en France
Haut de page