Microsoft prévient que des pirates utilisent des techniques du SEO pour propager des PDF malveillants.
Ce n'est pas la première fois qu'ils se servent du SEO à leur avantage puisqu'en avril, eSentire avait déjà alerté sur la création de pages web optimisées pour apparaître en bonne place dans les résultats de recherche de Google.
100 000 sites web ont été créés pour piéger des victimes
En avril, eSentire, une entreprise de sécurité informatique, a indiqué avoir trouvé plus de 100 000 pages web hébergées sur Google Sites et créées pour piéger des professionnels. Elles utilisaient des mots-clés très recherchés, comme template, invoice (facture), receipt (reçu), questionnaire ou resume (CV), en promettant de fournir des formulaires gratuitement.
Grâce à cette technique, les robots d'indexation de Google pensaient avoir affaire à des sites légitimes et possédant toutes les qualités pour être classés haut dans les résultats de recherche. Une fois que les victimes cliquaient pour tenter de télécharger le document en question, elles étaient redirigées plusieurs fois avant d'arriver sur un site contrôlé par les attaquants qui leur proposait d'autres boutons pour accéder au téléchargement.
Cliquer sur l'un de ces boutons installait un exécutable, déguisé en PDF ou en document Word, contenant le malware SolarMarker, ainsi que le lecteur de PDF SlimPDF, qui est un logiciel légitime, afin de distraire la victime. Si aucune action concrète n'est détectée à la suite de l'installation de ce malware, en théorie, il permet aux attaquants d'installer de nouveaux malwares, que ce soit des ransomwares ou des trojan bancaires, ou d'accéder aux réseaux des victimes pour voler leurs identifiants.
Une nouvelle méthode utilisant des PDF remplis de mots-clés
Microsoft a depuis détecté de nouvelles attaques utilisant le même malware, mais avec une technique un peu différente. Celle-ci repose toujours sur l'optimisation SEO, mais cette fois en utilisant des PDF hébergés sur AWS (Amazon Web Services) et Strikingly. Ces documents sont formés d'une dizaine de pages contenant uniquement des mots-clés et visent cette fois d'autres domaines, comme la finance et l'éducation.
Ils continuent de rediriger leurs victimes sur 5 à 7 sites, avant de les faire atterrir sur une page web imitant Google Drive sur laquelle ils leur proposent de télécharger le fichier. Microsoft indique que cette fois, ils alternent entre l'installation du malware et l'installation de fichiers quelconques afin d'échapper à la détection. L'entreprise a ajouté que cette technique de manipulation du SEO reste efficace, puisque Windows Defender a détecté et bloqué des milliers de ces documents infectés. Comme d'habitude, la méfiance reste de mise lorsqu'il s'agit de PDF provenant de sites inconnus.
Sources : BleepingComputer, eSentire, Microsoft
Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.
Lire d'autres articles
