La pub malveillante pour Arc se cache dans les résultats de recherche sponsorisés de Google - © Jeramey Lende / Shutterstock
Les cybercriminels ne ratent pas une occasion de tirer profit des lancements de nouveaux logiciels très attendus. Celui du navigateur Arc sur Windows a été la cible d'une campagne de publicités malveillantes visant à pousser les internautes à installer un faux programme contenant un cheval de Troie qui diffuse un infostealer.
Surfant sur l'engouement suscité par l'arrivée du navigateur Arc (que nous avons testé pour vous) pour Windows après un lancement réussi sur macOS, des pirates informatiques ont mis en place une campagne publicitaire malveillante sur Google Ads. Leur objectif ? Tromper les internautes désireux de tester ce nouveau navigateur prometteur en les redirigeant vers des sites illégitimes hébergeant des installateurs trojanisés au lieu du véritable programme.
Malgré des critiques dithyrambiques et un accueil chaleureux de la part des utilisateurs de la version Mac, l'arrivée tant attendue d'Arc sur Windows a été prise pour cible par des cybercriminels. Ils ont abusé des failles de la plateforme publicitaire de Google pour diffuser des annonces légitimes en apparence, mais détournant les internautes vers des sites malveillants au moment du téléchargement.
De la publicité malveillante pour Arc en tête des résultats de recherche sponsorisés sur Google
Les analystes de Malwarebytes ont constaté que les résultats promus par Google pour les requêtes « installateur arc » et « navigateur arc Windows » affichaient l'URL officielle d'Arc. Cependant, un clic sur ces annonces douteuses redirige vers des domaines usurpant l'identité visuelle du vrai site. Si l'internaute mord à l'hameçon et clique sur « Télécharger », il se retrouve avec un installateur trojanisé récupéré sur la plateforme d'hébergement MEGA.
Ce faux programme télécharge ensuite une charge malveillante supplémentaire nommée « bootstrap.exe » depuis une ressource externe. L'API de MEGA est alors détournée pour des opérations de commande et contrôle par les pirates, qui peuvent ainsi envoyer et recevoir instructions et données.
L'installateur trojanisé va chercher un fichier PNG contenant du code malveillant qui va compiler et déposer la charge finale baptisée « JRWeb.exe » sur le disque de la victime. Une autre variante utilise un exécutable Python injecté dans msbuild.exe pour aller récupérer des commandes malveillantes sur un site externe.
Bien que la nature exacte de cette dernière charge n'ait pas encore été déterminée, Malwarebytes pense qu'il pourrait s'agir d'un programme de type infostealer qui pille les données personnelles des victimes. L'infection est d'autant plus insidieuse que le vrai navigateur Arc est installé comme prévu sur la machine, masquant l'activité malveillante en tâche de fond.
Avant de cliquer sur "Télécharger", vérifiez que vous n'allez pas vous faire piéger - © Virrage Images / Shutterstock
Comment éviter de tomber dans le piège de ce type de publicités malveillantes sur Google Chrome
C'est bien connu, plus on a du succès, plus on joue avec le feu. Plus un outil ou un logiciel est populaire, plus il intéresse les hackers. Désormais disponible sur les 2 OS les plus utilisés, Arc attire les convoitises. C'est ce qui doit être la première alerte, car ils sont souvent détournés pour apparaître dans les premiers résultats de recherche sur Google. Ils sont d'autant plus redoutables que parfaitement imités. Il est vivement recommandé d'ignorer tous les résultats promotionnels affichés par Google, qui peuvent avoir été détournés par les pirates même s'ils semblent légitimes. Le mieux étant encore de les zapper.
Vous pouvez également choisir une solution plus radicale que l'ignorance en installant un bloqueur de publicités dans votre navigateur est un bon réflexe pour se prémunir contre ce type d'annonces malveillantes. Il permet de masquer totalement ces résultats sponsorisés potentiellement dangereux.
Par ailleurs, prenez l'habitude de mettre en favori le site officiel du projet pour vos prochains téléchargements, sans avoir à repasser par un moteur de recherche où vous pourriez tomber sur un piège.
Si malgré ces précautions vous avez un doute après avoir cliqué sur un lien, vérifiez absolument l'authenticité du domaine avant de lancer le téléchargement. Un simple coup d'œil attentif à l'URL permet souvent de détecter les sites usurpateurs qui jouent sur des ressemblances trompeuses.
Enfin, un bon réflexe une fois le fichier téléchargé est de le soumettre à l'analyse d'un antivirus à jour. Cela permet de détecter les éventuelles charges malveillantes injectées avant même l'exécution du programme sur votre machine.
merci à CLUBIC