Une nouvelle campagne de publicité malveillante a été observée tirant parti d’un site Web compromis pour promouvoir de fausses versions de PyCharm dans les résultats de recherche Google en tirant parti des annonces dynamiques de recherche.
« À l’insu du propriétaire du site, l’une de ses annonces a été automatiquement créée pour promouvoir un programme populaire auprès des développeurs Python, et visible par les personnes effectuant une recherche sur Google », Jérôme Segura, directeur de la veille sur les menaces chez Malwarebytes, dit dans un rapport.
« Les victimes qui ont cliqué sur l’annonce ont été redirigées vers une page Web piratée avec un lien pour télécharger l’application, qui s’est avérée installer plus d’une douzaine de logiciels malveillants différents. »
Le site Web infecté en question est un portail en ligne anonyme spécialisé dans l’organisation de mariages, dans lequel un logiciel malveillant a été injecté pour fournir de faux liens vers le logiciel PyCharm.
Selon Malwarebytes, les cibles sont dirigées vers le site Web à l’aide de Dynamic Search Ads, une offre publicitaire de Google qui utilise par programmation le contenu du site pour adapter les publicités ciblées en fonction des termes de recherche.
« Lorsqu’un internaute effectue une recherche sur Google avec des termes étroitement liés aux titres et aux expressions fréquemment utilisées sur votre site Web, Google Ads utilise ces titres et expressions pour sélectionner une page de destination de votre site Web et générer un titre clair et pertinent pour votre annonce », Google explique dans sa documentation d’assistance.
En conséquence, un acteur malveillant ayant la capacité de modifier le contenu du site Web pourrait également faire des campagnes publicitaires un outil lucratif pour les abus, diffusant efficacement aux utilisateurs de la recherche Google des publicités pouvant entraîner un comportement involontaire.
« Ce qui s’est passé ici, c’est que Google Ads a généré dynamiquement cette publicité à partir de la page piratée, ce qui fait du propriétaire du site Web un intermédiaire involontaire et une victime payant pour sa propre publicité malveillante », a expliqué Segura.
Ce développement intervient alors qu’Akamai a détaillé l’infrastructure derrière une campagne de phishing sophistiquée ciblant les sites hôteliers et leurs clients.
« La campagne constitue une menace mondiale, avec une quantité notable de trafic DNS observée en Suisse, à Hong Kong et au Canada », a déclaré la société. dit.
« Bien que l’on pensait initialement que la campagne n’était active que depuis septembre 2023, l’enregistrement de domaine montre que les noms de domaine ont été enregistrés et interrogés dès juin 2023. »