Table of contents
Des cybercriminels utilisent des publicités Google pour propager des logiciels malveillants sous couvert de publicités légitimes pour l’outil de communication Slack.
Publicités Slack : Une menace en constante évolution
Pour commencer, cette attaque montre une évolution dans les tactiques des cybercriminels. Ainsi, ils deviennent plus habiles à contourner les mesures de sécurité et à échapper à la détection.
Publicités Slack : L’augmentation des incidents de malvertising
L’année dernière, près de 500 incidents de malvertising liés aux annonces Google ont été signalés. Ainsi, ces incidents ont souvent des points communs, suggérant des campagnes coordonnées par des groupes malveillants.
Ensuite, certains cybercriminels investissent beaucoup d’efforts pour échapper aux contrôles de sécurité. D’autres n’hésitent pas à sacrifier leurs comptes pour atteindre leurs objectifs. En plus, l’attaque contre Slack se distingue par sa sophistication et sa furtivité.
Publicités suspectes et indices contextuels
En outre, pendant plusieurs jours, une publicité suspecte pour Slack a vu le jour en tête des résultats de recherche Google. À première vue, l’annonce semblait légitime et redirigeait les utilisateurs vers le site officiel de Slack.
Cependant, un examen attentif a révélé que l’annonceur promouvait des produits destinés au marché asiatique, ce qui semblait suspect. Ainsi, cette incohérence a suscité des doutes et a souligné l’importance de la détection contextuelle pour repérer les publicités compromises.
Publicités Slack : La stratégie du “slow cooking”
Au départ, cliquer sur la publicité de Slack redirigeait les utilisateurs vers une page de tarification sur le site officiel de Slack. Cette tactique, appelée « slow cooking », est couramment utilisée par les cybercriminels. Elle consiste à éviter la détection immédiate en laissant l’annonce active sans comportement malveillant pendant un certain temps.
Ensuite, la publicité a changé de comportement, redirigeant les utilisateurs vers un tracker de clics, une vulnérabilité dans l’écosystème publicitaire de Google. Cela permettait aux cybercriminels de filtrer les clics et de rediriger le trafic vers des domaines malveillants.
L’URL finale de la publicité est devenue slack-windows-download[.]com, un domaine créé récemment. Bien que la page paraisse bénigne au départ, une enquête a révélé une page usurpant l’identité de Slack et proposant un lien de téléchargement piégé.
Par ailleurs, cette technique, connue sous le nom de « cloaking », consiste à présenter un contenu différent selon l’utilisateur. Cela rend la détection des activités malveillantes difficile sans outils spécialisés.
Publicités Slack : Le logiciel malveillant déployé
Le bouton de téléchargement de la page malveillante déclenchait le téléchargement d’un fichier provenant d’un autre domaine, suggérant une campagne parallèle ciblant Zoom.
En plus, une analyse dans un environnement sécurisé a révélé une connexion à un serveur associé à SecTopRAT, un cheval de Troie permettant l’accès à distance et le vol de données. Cette charge utile a également été utilisée dans d’autres campagnes de malvertising, y compris celles imitant NordVPN.
En réponse à cette menace, Malwarebytes a renforcé sa détection et signalé l’annonce malveillante à Google. Ainsi, Cloudflare a également identifié les domaines leurres comme des sites de phishing.
Conclusion : Vigilance et sécurité
En résumé, malgré les efforts déployés pour contrer ces menaces, les cybercriminels continuent d’exploiter des plateformes pour éviter la détection. Les menaces numériques évoluent constamment, rendant la vigilance indispensable. Les utilisateurs doivent vérifier la légitimité des sites web avant de télécharger des fichiers. En restant informés et en adoptant des mesures de cybersécurité proactives, nous pouvons mieux nous protéger contre les cybermenaces.
