Actu
Julien Sobrier, Zscaler : Les moteurs de recherche détournés pour infecter les utilisateurs
novembre 2010 par Marc Jacob
Les moteurs de recherches tels que Google, Bing et Yahoo ! sont devenus le vecteur préféré des attaqueurs pour infecter les utilisateurs. Tout le monde les utilise quotidiennement. Ils fournissent également des renseignements très utiles pour cibler les attaques : quelles sont les recherches les plus populaires, quelle recherche effectuait l’utilisateur quand il a cliqué sur un résultat,...
Julien Sobrier, Senior Security Researcher, Zscaler
Google Hot Trends publie chaque jour la liste des 20 termes les plus populaires. Les attaqueurs prennent le contrôle de centaines de sites internet légitimes pout y ajouter des pages de spam ciblant ces termes populaires. Des milliers de ces pages sont crées et indexées chaque jour par Google et les moteurs de recherches. Très ciblées, liées entre elles par des centaines de liens sur différents domaines, et bénéficiant de la bonne réputation des sites détournés, ces pages sont très biens classées par les moteurs de recherche.
Figure 1 Spam crée spécialement pour une recherche populaire ressemble au site MTV
Les attaqueurs font tout pour que ce spam ne soit pas détecté par le webmaster ou par des outils de sécurité qui analysent le web. Aucune page existante du site détourné n’est modifiée. Les nouvelles pages de spam sont ajoutées dans un dossier caché ou ne contenant pas de contenu HTML (/images, /tmp, …) d’ordinaire. Bien que des milliers de pages soient affichées, 4 à 6 fichiers seulement (scripts php et logs) son ajoutés sur chaque site, et créent les pages de spam dynamiquement.
Lorsqu’un utilisateur clique sur un des liens vers une page de spam dans Google, il est redirigé vers un autre domaine qui héberge des virus et autres malware. Pour tromper l’utilisateur et lui faire télécharger un logiciel malveillant, une page imitant un antivirus est affichée. L’utilisateur est averti que son ordinateur est infecté par plusieurs virus, et qu’il devrait télécharger un antivirus gratuit. Le téléchargement est démarré automatiquement, sans intervention de l’utilisateur. L’antivirus est en fait un virus.
Figure 2 Faux antivirus
Ce type d’attaque représente 60% de toutes les menaces identifiées par Google. Il n’est pas rare que plus de la moitié des liens affichés dans une recherche populaire pointent vers un faux antivirus. Tous les événements internationaux (mariage du prince Harry, les dernières rumeurs sur une star américaine, …) sont un moyen privilégié pour infecter un grand nombrer d’internautes. Zscaler a montré qu’utiliser Google est beaucoup plus dangereux que de fréquenter Twitter !
