Les pirates informatiques s’arrangent pour que leurs sites frauduleux arrivent en tête des résultats de recherche de Google.

Les chercheurs en cybersécurité de chez Sophos viennent de mettre en lumière un nouveau mécanisme de diffusion de logiciels malveillants très sophistiqué. Celui-ci repose sur l’utilisation du malware Gootkit, un logiciel malveillant vieux de plusieurs années, qui a évolué pour permettre de positionner des sites frauduleux en premières positions dans les résultats de recherche de Google et ainsi, infecter de nombreuses machines.

Ce nouveau mécanisme de livraison, baptisé Gootloader, « utilise des techniques d’optimisation des moteurs de recherche (SEO) malveillantes pour se faufiler dans les résultats de recherche Google. La manière dont elle accomplit cette tâche mérite quelques discussions, car elle est centrée autant sur la technologie que sur la psychologie humaine », indiquent ainsi les chercheurs dans leur rapport.

Mais la dangerosité de la campagne Gootloader ne repose pas seulement sur le fait qu’elle parvient à faire grimper ses sites dans les résultats de recherche. Les sites qu’elle met en avant ont la capacité de s’adapter aux recherches effectuées par les internautes pour afficher exactement la réponse à leur question.

Les cibles vont ainsi tout naturellement cliquer sur le lien affiché en première ou seconde position. Malheureusement, celui-ci peut cacher un lien de téléchargement pour un logiciel malveillant. Dans d’autres cas, le lien renvoie vers un fil de discussion sur un forum d’apparence tout à fait légitime. Là-dessus, l’internaute trouvera la réponse à son problème dans le message d’un soi-disant administrateur qui affirme que la solution se trouve dans son lien de téléchargement. Évidemment, là encore, il s’agit d’un logiciel malveillant.

« Lorsque quelqu’un tape une question dans un moteur de recherche tel que Google, les sites Web piratés apparaissent parmi les meilleurs résultats. Pour s’assurer que les cibles des bonnes zones géographiques sont capturées [États-Unis, France, Allemagne, Corée du Sud], les adversaires réécrivent le code du site Web « à la volée » afin que les visiteurs du site Web qui n’appartiennent pas aux pays souhaités voient un contenu Web inoffensif, tandis que ceux du bon endroit voient une page contenant une fausse discussion ou un forum sur le sujet qu’ils ont interrogé. Les faux sites Web sont visuellement identiques, qu’ils soient en anglais, en allemand ou en coréen », détaillent les chercheurs, montrant combien la campagne est sophistiquée.

Une fois que la cible a téléchargé le logiciel malveillant, celui-ci agit dans l’ombre. En fonction des régions, le malware Gootloader télécharge un virus différent ; ransomware, cheval de Troie, malware financier, etc.

« Heureusement, il existe quelques signes avant-coureurs que les internautes peuvent rechercher. Il s’agit notamment des résultats de recherche Google qui pointent vers des sites Web pour les entreprises qui n’ont aucun lien logique avec les conseils qu’elles semblent offrir ; des conseils qui correspondent précisément aux termes de recherche utilisés dans la question initiale », expliquent encore les chercheurs. Les résultats de recherche qui proposent uniquement un lien de téléchargement avec des termes qui correspondent parfaitement à la recherche sont également suspects.