Quand les pirates se tournent vers le SEO pour propager des malwares

16 juin 2021 à 10h48
3

Microsoft prévient que des pirates utilisent des techniques du SEO pour propager des PDF malveillants.

Ce n'est pas la première fois qu'ils se servent du SEO à leur avantage puisqu'en avril, eSentire avait déjà alerté sur la création de pages web optimisées pour apparaître en bonne place dans les résultats de recherche de Google.

100 000 sites web ont été créés pour piéger des victimes

En avril, eSentire, une entreprise de sécurité informatique, a indiqué avoir trouvé plus de 100 000 pages web hébergées sur Google Sites et créées pour piéger des professionnels. Elles utilisaient des mots-clés très recherchés, comme template, invoice (facture), receipt (reçu), questionnaire ou resume (CV), en promettant de fournir des formulaires gratuitement.

Grâce à cette technique, les robots d'indexation de Google pensaient avoir affaire à des sites légitimes et possédant toutes les qualités pour être classés haut dans les résultats de recherche. Une fois que les victimes cliquaient pour tenter de télécharger le document en question, elles étaient redirigées plusieurs fois avant d'arriver sur un site contrôlé par les attaquants qui leur proposait d'autres boutons pour accéder au téléchargement.

Cliquer sur l'un de ces boutons installait un exécutable, déguisé en PDF ou en document Word , contenant le malware SolarMarker, ainsi que le lecteur de PDF SlimPDF , qui est un logiciel légitime, afin de distraire la victime. Si aucune action concrète n'est détectée à la suite de l'installation de ce malware, en théorie, il permet aux attaquants d'installer de nouveaux malwares, que ce soit des ransomwares ou des trojan bancaires, ou d'accéder aux réseaux des victimes pour voler leurs identifiants.

Une nouvelle méthode utilisant des PDF remplis de mots-clés

Microsoft a depuis détecté de nouvelles attaques utilisant le même malware, mais avec une technique un peu différente. Celle-ci repose toujours sur l'optimisation SEO, mais cette fois en utilisant des PDF hébergés sur AWS (Amazon Web Services) et Strikingly. Ces documents sont formés d'une dizaine de pages contenant uniquement des mots-clés et visent cette fois d'autres domaines, comme la finance et l'éducation.

Ils continuent de rediriger leurs victimes sur 5 à 7 sites, avant de les faire atterrir sur une page web imitant Google Drive sur laquelle ils leur proposent de télécharger le fichier. Microsoft indique que cette fois, ils alternent entre l'installation du malware et l'installation de fichiers quelconques afin d'échapper à la détection. L'entreprise a ajouté que cette technique de manipulation du SEO reste efficace, puisque Windows Defender a détecté et bloqué des milliers de ces documents infectés. Comme d'habitude, la méfiance reste de mise lorsqu'il s'agit de PDF provenant de sites inconnus.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
3
4
Voir tous les messages sur le forum

Lectures liées

PunkSpider, le moteur de recherche de vulnérabilités, refait surface
Un malware récupérant les mots de passe Windows se propage via les pubs des moteurs de recherche
Derrière une jeune femme, Marcella Flores, se cachaient des hackers affiliés à l'Iran
Bon plan antivirus : protégez votre vie numérique avec cette offre de Bitdefender à prix jamais vu !
Pourquoi Apple est-elle impuissante face à des logiciels tels que Pegasus ?
Cyberattaque : la France est dans le viseur de hackers chinois
Profitez des offres VPN à prix bradé du moment
Sauvegarde et anticipation : les clés pour se protéger des ransomwares cet été (Vidéo)
Projet Pegasus : pour Edward Snowden, il faut bannir tous les logiciels d'espionnage
Vous pouvez vérifier si votre mobile a été infecté par le logiciel Pegasus, voici comment !
Haut de page