Vous vous apprêtiez à télécharger ce programme tout à fait légitime directement depuis la page des résultats de recherche Google ? À votre place, on y réfléchirait à deux fois…
Une recherche banale, un clic sur l’un des premiers résultats, et c’est le drame. Dans un article de blog fraichement publié, les équipes de sécurité de Google viennent de confirmer l’émergence et la prolifération d’un nouveau malware baptisé PLAYFULGHOST. Particulièrement insidieuse, la menace se propage par empoisonnement SEO des résultats de recherche sur le web, technique d’infection bien plus discrète, et de fait plus efficace, que les traditionnelles tentatives de phishing. À la clé : enregistrements des frappes au clavier, captures d’écran et exfiltrations de donnés sensibles.
Du téléchargement légitime au siphonnage de données sensibles
Son nom ne vous dit peut-être rien, mais PLAYFULGHOST n’est pas totalement inconnu des experts en cybersécurité. Basé sur une vieille menace, Gh0st RAT, dont le code source a été rendu public en 2008, le malware fait partie d’un ensemble de variants développés depuis. Mais s’il occupe aujourd’hui une place prépondérante dans le classement des menaces en ligne les plus inquiétantes, c’est parce qu’il opte pour des méthodes de diffusion plus sournoises.
Dans le détail, PLAYFULGHOST est un RAT, c’est-à-dire un trojan d’accès à distance. De sa matrice, il reprend ses capacités de keylogging, de captures d’écran, d’enregistrements audio, de contrôle du shell, d’exécution de fichiers malveillants, et permet l’exfiltration des données vers un serveur distant.
En revanche, il innove dans ses méthodes de propagation, et c’est justement là qu’il se montre plus dangereux. Car si les chercheurs et chercheuses de Google ont pu observer que les attaquants recourraient à des canaux de diffusion traditionnels, à savoir le phishing, ils ont également repéré que PLAYFULGHOST hantait les résultats des moteurs de recherche grâce à des techniques d’empoisonnement SEO.
Pour la faire courte, les hackers sont parvenus à manipuler les résultats de référencements pour que le logiciel malveillant apparaisse en tête des recherches Google. Dans l'un des exemples fournis par Mountain View, PLAYFULGHOST usurpe l’identité d’un VPN réputé pour sa capacité à contourner la censure en Chine, LetsVPN. Tout, dans le programme d’installation vérolé, laisse croire qu’il s’agit d’un téléchargement légitime : l’EXE, « letsvpn-latest », ne comporte pas de caractère suspect, la description précise bien qu’il s’agit d’un fichier d’installation classique, la signature reprend le nom du fournisseur VPN. En bref, tout porte à tomber dans le piège.
Sauf qu’une fois installé et exécuté sur le système, le fichier trojanisé télécharge des composants malveillants à partir d’un serveur distant administré par les pirates : l’exécutable légitime charge une DLL de lancement, la DLL déchiffre et charge PLAYFULGHOST en mémoire. Une fois la porte dérobée ouverte, ne reste plus au RAT qu’à dérober et exfiltrer les données des victimes vers le serveur distant.
Dans la bataille, les chercheurs et chercheuses de Google ont également noté que PLAYFULGHOST n’arrivait pas seul. D’autres logiciels malveillants opèrent à ses côtés, parmi lesquels le dropper Boostwave (chargements de payloads via Powershell), le rootkit QAssist.sys (dissimulation du registre, des fichiers et des processus spécifiés par PLAYFULGHOST), et la DLL chromeuserinfo.dll (récupération des données utilisateur de Chrome, y compris les identifiants et autres informations de connexion stockées).
En bref, non seulement PLAYFULGHOST exfiltre les données locales, mais en plus, il est quasiment impossible à repérer, pollue le système avec d’autres charges utiles et peut dérober les données sensibles stockées dans le navigateur.
30 décembre 2024 à 09h18
L'empoisonnement SEO : une menace sournoise, mais pas inévitable
Face à la menace PLAYFULGHOST, et aux empoisonnements SEO de manière générale, il est évidemment nécessaire de redoubler de vigilance lors de vos recherches et téléchargements.
L’empoisonnement SEO démontrant qu’un résultat de recherche bien référencé n’est pas gage de fiabilité, téléchargez toujours vos logiciels depuis des sources officielles. Un conseil qui peut sembler évident, mais qui reste le moyen le plus sûr de contourner les pièges comme ceux tendus par PLAYFULGHOST. Contrôlez aussi systématiquement l’URL avant de cliquer, et vérifiez qu’elle pointe bien vers un nom de domaine officiel.
En marge de cette mesure préventive, installez un antivirus de qualité, réputé pour actualiser ses bases de données virales plusieurs fois par jour. Les solutions les plus efficaces embarquent généralement des modules de protection en temps réel contre les URL suspectes et les téléchargements douteux. N’hésitez pas non plus à associer votre antivirus à des extensions de navigateur destinées à renforcer la sécurité de votre navigation.
Pour terminer, si vous tombez sur un lien de téléchargement suspect, prenez le temps de le signaler à Google. Car si l’entreprise dispose d’équipes dédiées à la cybersécurité, les retours utilisateur lui permettent de consolider son arsenal déjà en place, d’améliorer la qualité de ses filtres de sécurité et d’optimiser la détection des menaces à plus grande échelle.
Source : Google
30 décembre 2024 à 09h35
