WikiLoader a évolué et utilise l'usurpation d'identité et l'empoisonnement SEO pour sévir © Pungu x / Shutterstock
WikiLoader a évolué et utilise l'usurpation d'identité et l'empoisonnement SEO pour sévir © Pungu x / Shutterstock

Une campagne malveillante usurpe l'identité du VPN GlobalProtect pour propager le malware WikiLoader. Les cybercriminels utilisent l'empoisonnement SEO pour attirer les victimes vers de faux sites de téléchargement.

C'est de bonne guerre, la publicité sur Internet, et notamment en tête des résultats des moteurs de recherches, est plus ou moins envahissante, selon qu'elle nous intéresse ou pas. Prenons l'exemple du VPN GlobalProtect, dont vous avez peut-être déjà vu la réclame lorsque vous avez cherché les meilleurs réseaux privés pour votre utilisation. Elle est peut-être apparue comme un résultat « sponsorisé » de Chrome, Firefox ou Safari.

Seulement voilà, vous n'êtes pas les seuls à être intéressés par cet encart publicitaire. Les hackers le prisent également. Mais pas pour les mêmes raisons. Eux, ce qu'ils cherchent, c'est à vous arnaquer. Et pour cela, rien de tel qu'un bon petit empoisonnement SEO pour usurper l'identité d'une marque légitime et vous faire tomber dans le panneau.

Le VPN GlobalProtect, cheval de Troie des temps modernes

Vous pensiez télécharger un VPN pour surfer tranquille ? Raté ! Les cybercriminels ont eu la brillante idée de se faire passer pour GlobalProtect, le logiciel VPN de Palo Alto Networks. Leur technique est aussi simple qu'efficace : ils ont créé de faux sites web quasiment identiques au légitime.

Et pour s'assurer que vous tombiez dans le panneau, ils ont joué la carte de l'empoisonnement SEO. L'empoisonnement SEO consiste à placer un site en tête des résultats de recherche. En l'occurrence, lorsque vous tapez « télécharger GlobalProtect » dans la barre de recherche de votre navigateur favori, vous voilà sur leur terrain de jeu.

Une fois sur leur fausse page, vous téléchargez ce que vous pensez être le VPN. En réalité, c'est WikiLoader qui s'installe en douce sur votre machine et diffuse des malwares bien plus dangereux. Le tout, à votre insu.

Si, selon Palo Alto Networks, cette campagne cible principalement les secteurs de l'éducation et des transports aux États-Unis, il est possible, avec cette technique d'empoisonnement SEO, que n'importe qui cherchant à télécharger GlobalProtect tombe dans le piège.

Meilleur antivirus, le comparatif en décembre 2024
A découvrir
Meilleur antivirus, le comparatif en décembre 2024

01 décembre 2024 à 11h06

Comparatifs services

WikiLoader : petit mais costaud

Si ce nom ne vous est pas inconnu, pour peu que l'univers de la cybercriminalité vous intéresse, c'est normal. WikiLoader n'est pas né de la dernière pluie. Il a été repéré pour la première fois fin 2022 par les experts de Proofpoint. À l'époque, il se propageait principalement par des e-mails de phishing.

Puis, WikiLoader a su évoluer avec son temps et s'est mis à préférer la technique de l'usurpation d'identité. En se faisant passer pour un logiciel légitime, WikiLoader a trouvé le moyen parfait de s'infiltrer dans vos machines sans éveiller les soupçons.

Avez-vous déjà cliqué sur un lien sponsorisé dans un moteur de recherche ? © M-Production / Shutterstock

Une fois installé, WikiLoader joue les entremetteurs. Il ouvre grand la porte à d'autres malwares bien plus vicieux. On parle notamment de chevaux de Troie bancaires comme Danabot ou Ursnif. Et si vous cherchez à qui appartient ce malware, c'est peine perdue. Il est ce qu'on appelle un « chargeur à louer », à la portée de n'importe quel hacker prêt à dépenser ses économies pour siphonner les vôtres.

Alors, soyez prudent. Si vous cherchez à télécharger ou à acheter un outil, une application ou un service, passez par le site de la marque, et non par une publicité en tête des moteurs de recherche.

Sources : Hack Read, Unit42