ESET découvre une campagne malveillante utilisant le plus grand moteur de recherche en langue russe

Prochain article

Les chercheurs ESET ont découvert une campagne ciblant les utilisateurs du moteur de recherche russe Yandex via des résultats de recherche malveillants. Yandex est souvent décrit comme l’équivalent russe du géant international Google.

Les visiteurs qui venaient rechercher de l’information ou des documents sur Yandex, le plus grand moteur de recherche en langue russe sur Internet, étaient redirigés vers un compte GitHub (l’un des outils de partage et de suivi de code source le plus populaire), qui les exposait alors à divers types de malwares.

De même, les utilisateurs visitant certains forums spécialisés ont été ciblés par des publicités les attirant vers un site Web malveillant qui, tout comme le service GitHub mentionné ci-dessus, servait lui aussi des logiciels malveillants. Dans tous les cas, ces malwares étaient embarqués dans des documents trojanisés.

« Les utilisateurs qui voulaient se faciliter le travail en cherchant des modèles de documents tout faits ont fini en réalité par se rendre la vie plus difficile, à cause des méthodes employées par les cybercriminels derrière cette campagne », commente Jean-Ian Boutin, chercheur senior chez ESET.

Figure 1 - Une des pages d'accueil de la campagne de malvertising. Celle-ci s'intitule "Collection de templates 2018 : Formulaires, modèles, contrats, échantillons ". Ces documents servaient par la suite les documents trojanisés.

Après avoir été alerté par ESET, Yandex. La filiale publicitaire du géant russe de l'Internet, a immédiatement mis un terme à cette campagne de publicités malveillantes. Les dépôts GitHub utilisés ne contiennent désormais plus que quelques fichiers bénins. En revanche, la page montrée ci-dessus était encore en place il y a quelques jours à peine, et elle servait toujours des documents trojanisés. Mais au moins, les internautes n’y étaient plus dirigés automatiquement par de fausses publicités.

Du fait que les attaquants ont utilisé GitHub, où l'historique des modifications est accessible publiquement, il est possible de voir quels logiciels malveillants ont été distribués à un moment donné. ESET a ainsi pu déterminer qu’il y avait six familles différentes de logiciels malveillants hébergés sur GitHub pendant la durée de la campagne.

Parmi eux se trouvaient notamment deux portes dérobées bien connues, Buhtrap et RTM, toutes deux des chevaux de Troie bancaires.

« Cette campagne est un bon exemple de la façon dont des services publicitaires parfaitement légitimes peuvent être utilisés à mauvais escient par des cybercriminels pour distribuer des logiciels malveillants. Bien que cette campagne cible spécifiquement les organisations russes, nous ne serions pas surpris qu'un tel système soit utilisé pour exploiter des services publicitaires ailleurs dans le monde », conclut Jean-Ian Boutin.

Les chercheurs d'ESET recommandent aux internautes de toujours vérifier que la source qu'ils choisissent pour télécharger leurs logiciels et autres documents est réputée et fiable, afin d'éviter de tomber dans de telles arnaques.

CONTACT PRESSE
Darina Santamaria - 06 61 08 42 45- darina.j@eset-nod32.fr

À propos d'ESET
Fondée en 1992, la société ESET est spécialisée dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public (avec respectivement les rangs de 4ème et 5ème mondial). Pionnier en matière de détection proactive des menaces véhiculées par l’Internet, ESET est aujourd'hui le leader dans ce domaine. Il est désigné comme l’unique Challenger dans le Magic Quadrant 2018 de Gartner, catégorie Endpoint Protection Platforms. À ce jour, l’antivirus ESET Nod32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. Les solutions ESET protègent aujourd’hui plus de 600 millions de postes dans le monde.

Pour plus d’informations :  www.eset.com/na/  Blog :  www.welivesecurity.com/fr/