L’une des techniques de monétisation utilisées par Google est afficher les annonces dans les premiers résultats. N’importe qui peut souscrire à ce service, appelé Google Adwords, pour afficher les résultats dans les premières positions lorsque les utilisateurs effectuent une requête dans le moteur de recherche. Il est généralement utilisé pour que certaines entreprises, avec un mauvais référencement, puissent apparaître avant leurs concurrents lorsque les internautes recherchent des informations à leur sujet. Mais malheureusement, il peut également être utilisé pour inciter les utilisateurs à télécharger toutes sortes de logiciels malveillants.
Programme de manipulation d’images GNU, mieux connu sous le nom de GIMP, est un programme bien connu pour PC. Ce logiciel devient un alternative gratuite à photoshop pour tous les utilisateurs qui recherchent un programme simple et gratuit pour pouvoir éditer et retoucher des photos.
Jusqu’à la semaine dernière, lorsque les utilisateurs recherchaient ce programme sur Internet, le premier résultat qui apparaissait était une annonce AdWords. Cette annonce affichait une URL qui semblait authentique sur la bannière Google elle-même. Mais, en cliquant dessus et en analysant le domaine qui nous a chargé sur le PC, nous pouvons voir qu’il s’agit en fait d’un faux domaine, « gilimp.org », utilisé pour distribuer des logiciels malveillants.
Comment est-ce possible? C’est en fait très simple. Lorsqu’ils enregistrent l’URL de la page Web, utiliser des caractères cyrilliques pour gіmp.org, qui en apparence vont nous atteindre sur une page Web, mais, en réalité, ils nous emmènent dans un domaine différent. Cela est possible grâce au fait que Google autorise l’utilisation d’URL différentes dans les sections URL d’affichage et URL de destination, et est utilisé par certains annonceurs pour diriger les utilisateurs vers des zones spécifiques du Web. Mais, dans ce cas, le but est différent.
Nous vous rappelons que le site officiel de GIMP est gimp.org. Toutes les autres sont de fausses pages qui, d’une manière ou d’une autre, tentent de nous tromper. Même le premier résultat qui apparaît lors de la recherche sur Google Espagne, ce qui nous conduit à un site Web faux et trompeur.
Un malware connu à l’intérieur
La page Web, en apparence, est la même que la page GIMP d’origine. Même lors du téléchargement, nous pouvons voir que nous téléchargeons un fichier d’environ 700 mégaoctets, tout comme le véritable éditeur d’images. Cependant, ce paquet est faux et ne cache en fait qu’un logiciel malveillant de 5 à 10 Mo à l’intérieur.
Une fois le logiciel malveillant installé, les victimes découvrent qu’elles ont installé sur leur PC une variante d’un cheval de Troie bien connu utilisé pour voler toutes sortes de données aux victimes appelées « VIDAR ». Il se connecte à distance à un serveur de contrôle et attend des instructions. Entre autres, les informations qu’il recherche sur notre ordinateur, et qu’il envoie aux serveurs des pirates, sont :
- Toutes les données du navigateur (historique, cookies, mots de passe, coordonnées bancaires, etc.).
- Portefeuilles de crypto-monnaie.
- Fichiers spécifiques sur le PC.
- Identifiants de télégramme.
- Informations d’identification du service de transfert de fichiers (WinSCPi, FTP, FileZilla).
- Données de messagerie.
Si nous sommes tombés dans le piège de cette supercherie, il est vital de sécuriser au plus vite notre ordinateur. Nous devons l’analyser avec un bon antivirus et anti-malware pour nettoyer toute trace de ce VIDAR avant qu’il ne continue à voler plus d’informations sur nous. En outre, il est également nécessaire de prendre les mesures de protection que nous jugeons appropriées, telles que changer les mots de passe ou aviser la banque de modifier les informations de carte de crédit et de protéger nos comptes.