Hacker Cellmate

Microsoft prévient que des pirates utilisent des techniques du SEO pour propager des PDF malveillants.

Ce n'est pas la première fois qu'ils se servent du SEO à leur avantage puisqu'en avril, eSentire avait déjà alerté sur la création de pages web optimisées pour apparaître en bonne place dans les résultats de recherche de Google.

Lire aussi :
Quand des pirates créent une fausse plateforme de streaming pour diffuser leur malware

100 000 sites web ont été créés pour piéger des victimes

En avril, eSentire, une entreprise de sécurité informatique, a indiqué avoir trouvé plus de 100 000 pages web hébergées sur Google Sites et créées pour piéger des professionnels. Elles utilisaient des mots-clés très recherchés, comme template, invoice (facture), receipt (reçu), questionnaire ou resume (CV), en promettant de fournir des formulaires gratuitement.

Grâce à cette technique, les robots d'indexation de Google pensaient avoir affaire à des sites légitimes et possédant toutes les qualités pour être classés haut dans les résultats de recherche. Une fois que les victimes cliquaient pour tenter de télécharger le document en question, elles étaient redirigées plusieurs fois avant d'arriver sur un site contrôlé par les attaquants qui leur proposait d'autres boutons pour accéder au téléchargement.

Cliquer sur l'un de ces boutons installait un exécutable, déguisé en PDF ou en document Word, contenant le malware SolarMarker, ainsi que le lecteur de PDF SlimPDF, qui est un logiciel légitime, afin de distraire la victime. Si aucune action concrète n'est détectée à la suite de l'installation de ce malware, en théorie, il permet aux attaquants d'installer de nouveaux malwares, que ce soit des ransomwares ou des trojan bancaires, ou d'accéder aux réseaux des victimes pour voler leurs identifiants.

Lire aussi :
MSI : un faux site officiel distribue une version d'Afterburner bourrée de malwares

Une nouvelle méthode utilisant des PDF remplis de mots-clés

Microsoft a depuis détecté de nouvelles attaques utilisant le même malware, mais avec une technique un peu différente. Celle-ci repose toujours sur l'optimisation SEO, mais cette fois en utilisant des PDF hébergés sur AWS (Amazon Web Services) et Strikingly. Ces documents sont formés d'une dizaine de pages contenant uniquement des mots-clés et visent cette fois d'autres domaines, comme la finance et l'éducation.

Ils continuent de rediriger leurs victimes sur 5 à 7 sites, avant de les faire atterrir sur une page web imitant Google Drive sur laquelle ils leur proposent de télécharger le fichier. Microsoft indique que cette fois, ils alternent entre l'installation du malware et l'installation de fichiers quelconques afin d'échapper à la détection. L'entreprise a ajouté que cette technique de manipulation du SEO reste efficace, puisque Windows Defender a détecté et bloqué des milliers de ces documents infectés. Comme d'habitude, la méfiance reste de mise lorsqu'il s'agit de PDF provenant de sites inconnus.

Sources : BleepingComputer, eSentire, Microsoft