Bois des cars, lot 63 Dely Brahim -Alger 0657 02 63 77 contact@fortiwell.dz

Blog

Accueil

Des pirates détournent des comptes Google Ads pour propager des logiciels malveillants

Une campagne de malvertising particulièrement audacieuse cible le cœur même de l’activité de Google. Des acteurs malveillants exploitent des pages de connexion factices pour voler les identifiants des annonceurs, puis utilisent ces comptes piratés pour diffuser des publicités malveillantes et des logiciels malveillants via Google Ads. Google a confirmé être au courant du problème et travaille activement à le résoudre.

Une campagne de malvertising sans précédent

Selon les chercheurs de Malwarebytes, les attaquants, originaires de diverses régions comme l’Amérique du Sud, l’Asie et l’Europe de l’Est, imitent les pages de connexion de Google Ads pour tromper les annonceurs et voler leurs identifiants. Une fois les comptes compromis, ils achètent et diffusent en temps réel des publicités malveillantes via Google Ads.

Ce qui rend cette campagne particulièrement insidieuse, c’est que les publicités malveillantes affichent une URL "ads.google.com", les rendant presque impossibles à distinguer des publicités légitimes. Jerome Segura, chercheur chez Malwarebytes, décrit cette opération comme "la plus éhontée" jamais observée, touchant directement le modèle économique de Google et affectant potentiellement des milliers de clients à travers le monde.

Comment fonctionne l’attaque ?

Google Ads est une plateforme publicitaire qui permet aux entreprises et aux particuliers de diffuser des annonces ciblées sur les résultats de recherche Google, les sites web, les applications mobiles et d’autres propriétés en ligne. Les annonces sponsorisées, souvent en tête des résultats de recherche, génèrent des revenus publicitaires considérables pour Google, avec plus de 175 milliards de dollars en 2023.

Les attaquants exploitent cette popularité en créant de fausses annonces sponsorisées, prétendant aider les utilisateurs à créer un compte Google Ads ou à se connecter à leur compte existant. En cliquant sur ces annonces, les utilisateurs sont redirigés vers une page d’accueil factice de Google Ads, puis vers des sites externes conçus pour voler leurs identifiants.

Pour héberger ces pages de phishing, les pirates utilisent Google Sites, la plateforme gratuite de création de sites web de Google. Cette tactique leur permet de contourner une politique de Google qui exige que l’URL affichée dans une annonce corresponde au domaine de l’annonceur. Comme les pages malveillantes utilisent le domaine "sites.google.com", elles apparaissent légitimes et respectent techniquement les règles de Google.

Une réponse de Google en cours

Un porte-parole de Google a confirmé que l’entreprise enquête activement sur le problème et travaille à une solution rapide. "Nous interdisons expressément les annonces visant à tromper les utilisateurs pour voler leurs informations ou les escroquer", a-t-il déclaré. En 2023, Google a supprimé plus de 3,4 milliards d’annonces, restreint 5,7 milliards d’annonces et suspendu plus de 5,6 millions de comptes d’annonceurs pour non-respect de ses politiques.

Cependant, les attaquants utilisent des techniques sophistiquées pour contourner les mécanismes de détection automatisés, comme la manipulation de texte ou le cloaking, qui consiste à montrer aux systèmes de Google des annonces différentes de celles vues par les utilisateurs. Ces tactiques rendent la lutte contre ces campagnes particulièrement complexe.

Une ingénierie sociale simple mais efficace

Selon Jerome Segura, l’aspect le plus remarquable de cette campagne est l’utilisation de l’image de marque de Google Ads en combinant des URL de Google Sites avec des annonces malveillantes. "C’est une astuce simple mais efficace qui rend ces annonces incroyablement difficiles à distinguer des véritables", explique-t-il. En outre, les pirates utilisent souvent des comptes Google Ads déjà compromis pour diffuser encore plus de fausses annonces, ce qui complique la tâche des équipes de sécurité.

Segura estime que Google devrait renforcer ses mesures pour empêcher de telles usurpations. "Le 'comment' est plus compliqué, car cela implique de revoir les pratiques commerciales et les politiques de sécurité existantes", souligne-t-il.

Une collaboration pour limiter les dégâts

Malwarebytes suit et signale chaque incident de malvertising via un outil de suivi en temps réel accessible à l’équipe Google Ads. "Cela nous aide non seulement à simplifier le processus de signalement, mais aussi à garder une trace historique des incidents", explique Segura. Bien que Google agisse rapidement pour supprimer les annonces signalées, les attaquants parviennent à relancer leurs campaines presque immédiatement. "Nous parlons de dizaines de comptes brûlés, mais il en reste suffisamment pour que cette activité se poursuive indéfiniment", conclut-il.

Services

Infrastructure IT Cybersécurité Développement d’applications Support IT Formations