J’évoque ici un des affaires courantes qui jalonnent la vie des plateformes publicitaires dans le monde et spécialement la fraude publicitaire sur Google Ads. Des hackers abusent de Google Ads pour diffuser des logiciels malveillants dans des logiciels légaux. L’affaire se passe aux US et a été dévoilé il y a quelques jours. Les acteurs de l’industrie des logiciels malveillants  profitent de plus en plus de la plateforme Google Ads pour diffuser des logiciels malveillants à des utilisateurs peu méfiants qui recherchent des logiciels « tendances » Parmi les produits contrefaits dans ces campagnes figurent Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird et Brave. Les  «hackeurs » clonent les sites officiels et distribuent des versions vérolées  lorsque les utilisateurs cliquent sur le bouton «  téléchargement ». Parmi ces logiciels malveillants diffusés,  figurent des variantes de Raccoon Stealer, une version personnalisée de Vidar Stealer et le chargeur de logiciels malveillants IcedID.

Comment google peut se faire avoir ?

Le site Américain BleepingComputer  a récemment fait état de telles campagnes massives de typosquattage qui sévissent apparemment aux US. Plus de 200 domaines déployés se faisant passer pour des logiciels en développement. Un autre exemple est une campagne utilisant de faux portails MSI Afterburner pour infecter les utilisateurs avec le virus RedLine. Cependant, il manquait un détail : la manière dont les utilisateurs étaient exposés à ces sites Web, une information qui est désormais connue. Ce sont deux rapports de Guardio Labs et Trend Micro qui ont révélé l’affaire en désignant google comme source de cette acquisition frauduleuse.

Normalement Google détecte que le site d’atterrissage est malveillant, la campagne est bloquée et les publicités sont supprimées. Les acteurs de la menace doivent donc employer une astuce à cette étape pour contourner les contrôles automatisés de Google.

Processus de propagation

Processus de propagation

Aussi, le piratage passe par le clic  sur l’annonce qui attérit sur un site basique. Une redirection s’opère vers un site malveillant aux codes et couleurs de l’éditeur officiel du programme à télécharger. Dès que ces sites attrape- nigauds  captent le visiteur néophyte, le serveur les redirige immédiatement vers un site malveillant vérolé », explique Guardio Labs.Les exécutables prennent  la forme d’un ZIP ou d’un MSI, et sont  téléchargés à partir de plateformes populaires  de partage de fichiers et d’hébergement de code tels que GitHub, Dropbox ou le CDN de Discord. Cela permet de s’assurer que les programmes antivirus en cours d’exécution sur la machine de la victime ne bloquent pas  le téléchargement.

Guardio Labs indique que dans une campagne observée en novembre, l’acteur de la menace a attiré les utilisateurs avec une version vérolée de Grammarly qui distillait Raccoon Stealer. Le malware  associé au logiciel légitime pouvait s’installer tranquillement.

Dans ce genre de campagne, le magazine trend micro indique que les hackeurs utilisent le hack « Keitaro Traffic Direction System »  pour détecter si le visiteur du site Web est un fouineur  ou une victime idéale avant la redirection. L’utilisation abusive de ce hack a été observée depuis 2019.

Google et la lutte contre la fraude publicitaire

Enfin, selon le rapport 2022 de Google sur la sécurité des réseaux publicitaires, 3,4 milliards de publicités auraient été  bloquées. Google travaille d’arrache pieds depuis des années  pour fournir une plate-forme saine sans publicités vérolées. L’investissement de Google en 2021 révélé en 2022 a été important .Il doit continuellement s’adapter aux nouvelles techniques utilisées par les annonceurs malveillants. Google a mis à jour ou ajouté plus de 30 directives pour prévenir la fraude.

Les secteurs adulte, dangereux, et militaire se taille la part du lion parmi les thématiques les plus condamné par le système de sécurité.

Thématique surveillée par google en publicité

Thématique surveillée par google en publicité

Celles-ci incluent des politiques interdisant le déni du changement climatique et des certifications qui soutiennent les annonces des compagnies d’assurance aux États-Unis. En dehors des 3,4 milliards d’annonces qui ont été complètement supprimées,  5,7 milliards d’annonces ont été restreintes pour diverses raisons. Les gestionnaires de publicité connaissent bien ce terme, utilisé dans les annonces lors d’achat de mots clés protégés. Mais on est loin ici de la fraude évoquée dans ce début d’article !