Des stealers en liens sponsorisés Google
![Image Une vulnérabilité identifiée dans la [billetterie du PSG]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-breach-faille-2024-885x690.jpg)
![Image Un forum russophone sur Kaspersky victime d’un [vol de données]](https://incyber.org//wp-content/uploads/2024/03/incyber-news-cybersecurite-cybersecurity-ransomware-ranconlogiciel-885x690.jpg)
Les cybercriminels déjouent la vigilance de Google en créant un site inoffensif, redirigeant ensuite vers un second site contenant un logiciel malveillant
Guard.io et Trend Micro ont publié, le 28 décembre 2022, un rapport sur une nouvelle cyber-arnaque. Les deux sociétés ont en effet identifié, dans les résultats sponsorisés de Google Search, des sites redirigeant vers des sites frauduleux.
Ces derniers sont classiquement des clones de sites originaux. Ils proposent en téléchargement un logiciel populaire et gratuit – Slack, μTorrent, Teamviewer, Audacity, Brave ou Libre office. Il s’agit en réalité d’un stealer ou d’un botnet.
Mais pour tromper la vigilance des outils de détection de Google, les cybercriminels ont créé un autre site. Celui-ci est parfaitement inoffensif et très différent de celui du fournisseur officiel. Les pirates informatiques payent pour faire apparaître ce site parmi les liens sponsorisés de Google Search correspondant au logiciel original. Google valide alors l’opération.
Mais si l’internaute clique sur le lien, ce premier site le redirige automatiquement vers le site frauduleux. Ce dernier propose alors de télécharger le logiciel voulu, en format ZIP, depuis une plateforme publique d’hébergement.
Et si la victime, trop confiante, ouvre le ZIP sans le vérifier avec un antivirus, elle va installer sur sa machine un malware. Il peut s’agir de Raccoon Stealer, d’une version maison de Vidar Stealer ou du botnet IcedID.