Des experts en cybersécurité viennent de découvrir une campagne de malvertising sophistiquée visant les annonceurs Microsoft. En utilisant de fausses publicités Google, cette attaque redirige les victimes vers des pages de phishing conçues pour voler leurs informations d’identification.
Jérôme Segura, directeur principal de la recherche chez Malwarebytes, a révélé dans un rapport publié jeudi que des publicités malveillantes qui apparaissent sur Google Search sont utilisées pour dérober les informations de connexion des utilisateurs tentant d’accéder à la plateforme publicitaire de Microsoft.
Cette nouvelle attaque survient après une campagne récemment découverte par cette société de cybersécurité, exploitant des annonces similaires sponsorisées pour piéger à la fois les particuliers et les entreprises qui utilisent les services publicitaires de Google.
La dernière série d’attaque vise principalement les utilisateurs recherchant des termes comme « Microsoft Ads ». En outre, ils emploient aussi des techniques astucieuses, comme la redirection du trafic VPN et l’utilisation de défis Cloudflare, pour éviter la détection des systèmes de sécurité.
Des faux sites Microsoft détournent les comptes grâce au phishing et à la redirection vers des vidéos YouTube
En plus de ces techniques, les cybercriminels ciblent aussi les utilisateurs qui tentent d’accéder à la page légitime « ads.microsoft.com ». Comment procèdent-ils ? Ils redirigent les utilisateurs vers une vidéo YouTube liée à un mème populaire.
La page de phishing imite parfaitement la page légitime ainsi les victimes font rarement la différence. D’ailleurs, cette page a été développée pour capturer les identifiants de connexion et les codes 2FA des utilisateurs. Cela offre aussi par la même occasion aux attaquants la possibilité de contrôler totalement leurs comptes.
Selon Malwarebytes, il ne s’agit pas d’un cas isolé, car il a déjà découvert une infrastructure de phishing identique. Actif depuis des années, cette infrastructure cible des plateformes publicitaires comme Meta.
En outre, la plupart des domaines de phishing sont hébergés au Brésil, ce qui nous laisse croire que la campagne a un point commun avec une campagne visant les utilisateurs de Google Ads. Notons que de son côté, Google a attesté qu’elle est en train de prendre les mesures nécessaires pour empêcher ce genre de fraude.
Vous aimerez aussi cet article:
Des PDF malveillants qui volent des données sensibles ?
Une nouvelle attaque de smishing exploite aussi des leurres de livraison de colis échoués pour piéger les utilisateurs mobiles en se faisant passer pour du service postal des États-Unis (USPS).
Pour cibler les utilisateurs, ils envoient des SMS qui les incitent à ouvrir un fichier PDF. Le SMS précise qu’une mise à jour d’adresse est indispensable pour finaliser la livraison. Par la suite, le fichier renvoie vers une page de phishing où les informations personnelles et les données de paiement sont collectées.
Par ailleurs, le document PDF dispose aussi d’un bouton « Cliquer sur Mettre à jour », dirigeant les victimes par la suite vers une page Web de phishing de l’USPS, dans lequel on leur demande de saisir son adresse postale, son numéro de téléphone et son adresse électronique.
Rappelons que la page de phishing est aussi équipée pour récupérer les données de la carte de paiement sous couvert de frais de service pour la réexpédition. Par la suite, les données fournies sont cryptées et transférées à un serveur distant sous le contrôle de l’attaquant.
Dans le cadre d’une campagne de très grande envergure, en moyenne 20 PDF malveillants et 630 pages de phishing ont été détectés.
