Les chercheurs de Kaspersky mettent en garde les utilisateurs de PC sous Windows. Selon les experts de la société russe, une campagne malveillante se propage actuellement sur des milliers d’ordinateurs. Cette campagne vise à glisser des malwares sur les machines visées.
À lire aussi : virus, vols de données, espionnage… les dangers de l’IPTV
Publicités et faux CAPTCHA
L’attaque prend d’abord la forme d’une publicité en ligne. L’annonce publicitaire va recouvrir l’intégralité de l’écran, obstruant complètement le site web consulté par l’internaute et bloquant l’accès au navigateur web. Il n’est pas rare que des annonces surgissantes viennent polluer la navigation en ligne, surtout sur des sites douteux.
« Les attaquants ont acheté des espaces publicitaires, et si un utilisateur voit cette publicité et clique dessus, il est redirigé vers des ressources malveillantes, une tactique couramment utilisée. Cette nouvelle vague implique un réseau de distribution considérablement élargi et l’introduction d’un nouveau scénario d’attaque qui touche davantage de victimes », raconte Vasily Kolesnikov, expert en sécurité chez Kaspersky.
Cette publicité va rediriger la cible sur un faux CAPTCHA, un test en ligne très répandu et conçu pour différencier les utilisateurs humains des bots. Ce CAPTCHA contient des instructions spécifiques qui vont aboutir à l’installation d’un virus sur l’ordinateur. Lorsque l’utilisateur clique sur le bouton « Je ne suis pas un robot », un code sera automatiquement copié dans le presse-papiers de la machine à son insu. La victime sera invitée à coller le code dans le terminal de Windows, ce qui finalisera l’installation du malware.
C’est « une méthode plutôt inhabituelle », souligne Kaspersky. La stratégie « tire parti de leur confiance dans CAPTCHA pour amener les utilisateurs à effectuer des actions dangereuses ».
Un vol de données d’envergure
Les chercheurs ont pu déterminer qu’il s’agissait généralement d’un maliciel connu sous le nom de Lumma. Ce malware fait partie de la catégorie des infostealers, des virus programmés pour le vol de données. Une fois que le virus s’est infiltré dans l’ordinateur, il va donc exfiltrer une multitude d’informations et les transmettre aux cybercriminels.
Parmi les données préférées des hackers aux origines de la cyberattaque, on trouve « les fichiers liés aux cryptomonnaies, des cookies et des données de gestionnaires de mots de passe ». Avec les mots de passe, les cookies de navigation et les clés privées des portefeuilles blockchain, les pirates peuvent orchestrer une foule de cyberattaques différentes, et se remplir les poches…
Les gamers dans le viseur des pirates
Les chercheurs de Kaspersky ont surtout repéré ces fausses publicités sur « des sites de jeux en ligne ». Les cybercriminels ont concentré leurs efforts sur les joueurs. Selon une précédente étude Yougov pour Kaspersky, les gamers font d’ailleurs partie des cibles privilégiées par le monde du cybercrime. Les joueurs sont surexposés aux risques d’attaques, et la tendance continue de s’accentuer.
Le nombre de joueurs ayant été la cible de cyberattaque par le biais des jeux vidéo a « bondi de 30 % en un an au cours des six premiers mois de 2024 ». Dans la plupart des cas, les gamers sont visés par des tentatives de vols de données.
De faux messages d’erreur Chrome
Dans certains cas, la publicité malveillante, sur laquelle repose toute la cyberattaque, redirige les internautes vers un faux message d’erreur de Google Chrome. Cet avertissement, qui reprend à la lettre l’interface de celui d’un avis officiel, demande à l’utilisateur de « copier le correctif » dans la fenêtre du terminal, ce qui aboutit à l’installation du virus, et au vol de données.
Plus de 140 000 pubs
Enfin, la campagne repose aussi sur des « services de partage de fichiers, d’applications web, de portails de bookmakers, de pages de contenu pour adultes, de communautés d’animateurs, et bien d’autres canaux ». Par le biais de ces canaux supplémentaires, les cybercriminels distribuent Amadey, un redoutable cheval de Troie également taillé pour le vol d’informations. Il se distingue en aspirant « les informations d’identification des navigateurs populaires », en réalisant des captures d’écran à l’insu des usagers et en téléchargeant un outil d’accès à distance. De facto, le malware permet à un pirate de se servir d’un ordinateur à distance.
Après enquête, Kaspersky s’est rendu compte que plus de 140 000 publicités invasives ont été déployées entre septembre et octobre 2024. Plus de 20 000 internautes se sont retrouvés face à des pages contenant des scripts capables d’installer des virus au cours de la période. Ce sont surtout les internautes brésiliens, italiens, russes et espagnols qui sont tombés dans le piège.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Kaspersky
Comme quoi un bon bloqueur de pub, c’est toujours très utile. 😉
C’est si vrai. Se parer de la pub ce n’est en effet pas que donner du répit à notre système nerveux mais aussi se prémunir contre la publicité malveillante ou “malvertisement” en anglais (le mot est entré dans le langage courant mais pas dans les dicos à ma connaissance”.
–
“Les attaquants ont acheté des espaces publicitaires”, mais, mille milliards de sabords, ils les ont acheté à qui ?! Ce sont les vendeurs d’espaces publicitaires destinés à servir les attaquants qui sont à être incriminés, autant sinon davantage que les attaquants.