Des pirates s'appuient sur les résultats retournés par les recherches Google
Pour diffuser le Trojan bancaire Zeus Panda

Le , par Stéphane le calme, Chroniqueur Actualités
Utiliser le service de recherche de Google lorsque nous sommes en quête d’une information est devenue une routine pour la plupart des internautes dans le monde : entrez des mots-clés, et le moteur vous retournera les liens en rapport avec votre requête. Cependant, comme le notent les ingénieurs de l’équipe Cisco Talos, les liens renvoyés par une recherche Google ne sont pas synonymes de sûreté.

En effet, il peut arriver que des acteurs malveillants tentent de profiter de cette tendance généralisée et s’appuyer sur l’optimisation des moteurs de recherche (SEO) pour cibler des utilisateurs par un logiciel malveillant. Dans le cas d’espèce, les chercheurs ont découvert une campagne durant laquelle le cheval de Troie Zeus Panda était diffusé : « En empoisonnant les résultats de la recherche pour des mots-clés bancaires spécifiques, les attaquants ont été en mesure de cibler efficacement des utilisateurs spécifiques d'une manière nouvelle. »

« En ciblant principalement les recherches par mots-clés relatifs à la finance et en s'assurant que leurs résultats malveillants sont affichés, l'attaquant peut tenter de maximiser le taux de conversion de ses infections, car il peut être sûr que les utilisateurs infectés utiliseront régulièrement différentes plateformes financières », a expliqué l’équipe.

Elle a rajouté par la suite que la configuration globale et le fonctionnement de l'infrastructure utilisée pour distribuer ce malware étaient intéressants, car ils ne reposaient pas sur des méthodes de distribution qu’elle voit régulièrement utilisées pour la distribution de logiciels malveillants. « Ceci est un autre exemple de la façon dont les attaquants affinent et modifient régulièrement leurs techniques et illustre pourquoi la consommation continue d'informations sur les menaces est essentielle pour garantir que les organisations restent protégées contre de nouvelles menaces au fil du temps. »

Le vecteur initial utilisé pour initier ce processus d'infection ne semble pas être basé par le traditionnel courrier électronique. Dans cette campagne particulière, l'attaquant cible des ensembles spécifiques de mots-clés de recherche qui sont susceptibles d'être lancés par des cibles potentielles en utilisant des moteurs de recherche tels que Google. En tirant parti des serveurs Web compromis, l'attaquant a été en mesure de s'assurer que ses résultats malveillants seraient bien classés dans les résultats retournés par les moteurs de recherche, augmentant ainsi la probabilité que les liens soient cliqués par des victimes potentielles.

Les termes suggèrent qu'ils ciblent les clients de Nordea Sweden, de la State Bank of India, de la Bank of Barodia et de l'Axis Bank de l'Inde, de la Commonwealth Bank of Australia et de la banque Al Rajhi d'Arabie Saoudite. Ils ciblent également les utilisateurs qui recherchent des informations sur le réseau bancaire SWIFT.

Notamment, une fois qu'un système est infecté, le logiciel malveillant ne s'activera pas s'il détecte qu'un mappage de clavier est russe, biélorusse, kazakh et ukrainien. Il arrive que les piratent évitent de cibler les utilisateurs de la juridiction dans laquelle ils opèrent pour éviter d'attirer l'attention de la police locale.

Les attaquants ont d'abord compromis une série de véritables sites Web d'entreprise, puis les ont optimisés pour les faire apparaître en tête des résultats de recherche Google pour certains termes de recherche.

Selon Cisco, les attaquants ont pu afficher leurs résultats empoisonnés à plusieurs reprises sur la première page de la page de résultats du moteur de recherche de Google.


Les termes de recherche inclus :
  • "numéro de compte bancaire nordea suède"
  • "Al Rajhi banque heures de travail pendant le ramadan"
  • "combien de chiffres dans le numéro de compte bancaire karur vysya"
  • "livres en ligne gratuits pour examen de commis de banque"
  • "Comment annuler un chèque de banque de Commonwealth"
  • "Format de bordereau de salaire dans Excel avec téléchargement gratuit de formule"
  • "banque de baroda balance des comptes"
  • "format de garantie bancaire mt760"
  • "formulaire de dépôt récurrent de la banque sbi"
  • "Axe bancaire lien de téléchargement"

Si une victime visite un site compromis, la page utilise JavaScript pour déclencher une série de redirections qui finit par télécharger un document Word malveillant.

À partir de là, les pirates s'appuient sur l'ingénierie sociale pour tromper l'utilisateur afin d’autoriser l'exécution du code macro. Les macros sont désactivées par défaut et Microsoft recommande de conserver cette configuration, en particulier pour les documents provenant de sources non fiables, telles qu'Internet.


Lorsque le document Word est ouvert, le message suivant s'affiche: "Pour afficher ce contenu, cliquez sur" Activer l'édition "dans la barre jaune, puis sur" Activer le contenu ".

Cette instruction fait probablement référence à l'avertissement de sécurité jaune affiché par Office lorsqu'il détecte un fichier contenant des macros. L'avertissement indique que « Macros ont été désactivées » à côté d'un bouton « Activer le contenu ».

Si l'utilisateur l'active, la macro malveillante va lancer le téléchargement d’un exécutable qui va infecter le système avec Zeus Panda.

« Les attaquants essaient constamment de trouver de nouvelles façons d'inciter les utilisateurs à exécuter des logiciels malveillants qui peuvent être utilisés pour infecter l'ordinateur de la victime avec diverses charges utiles. Les attaques par spam, par malvertising ou par trou d'arrosage sont couramment utilisées pour cibler les utilisateurs. Talos a découvert tout un framework qui se sert de « l'empoisonnement SERP » pour cibler des utilisateurs sans méfiance et distribuer le cheval de Troie bancaire Zeus Panda. Dans ce cas, les pirates effectuent des recherches par mots-clés spécifiques et veillent à ce que leurs résultats malveillants soient affichés dans les résultats renvoyés par les moteurs de recherche.

« Le paysage des menaces est en constante évolution et les acteurs malveillants sont continuellement à la recherche de nouveaux vecteurs d'attaque pour cibler leurs victimes. La mise en place d'une solide stratégie de défense en profondeur permettra aux organisations de s'adapter au paysage des menaces en constante évolution. Cependant, les utilisateurs doivent également rester vigilants et réfléchir à deux fois avant de cliquer sur un lien, d'ouvrir une pièce jointe ou même de faire confiance aveuglément aux résultats d'une recherche Google », a conclu Talos.

Source : Talos


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :
Contacter le responsable de la rubrique Accueil