Les chercheurs ESET ont découvert une campagne ciblant les utilisateurs du moteur de recherche russe Yandex via des résultats de recherche malveillants. Yandex est souvent décrit comme l’équivalent russe du géant international Google.

Les visiteurs qui venaient rechercher de l’information ou des documents sur Yandex, le plus grand moteur de recherche en langue russe sur Internet, étaient redirigés vers un compte GitHub (l’un des outils de partage et de suivi de code source le plus populaire), qui les exposait alors à divers types de malwares.

De même, les utilisateurs visitant certains forums spécialisés ont été ciblés par des publicités les attirant vers un site Web malveillant qui, tout comme le service GitHub mentionné ci-dessus, servait lui aussi des logiciels malveillants. Dans tous les cas, ces malwares étaient embarqués dans des documents trojanisés.

« Les utilisateurs qui voulaient se faciliter le travail en cherchant des modèles de documents tout faits ont fini en réalité par se rendre la vie plus difficile, à cause des méthodes employées par les cybercriminels derrière cette campagne », commente Jean-Ian Boutin, chercheur senior chez ESET.

stat-cp

Figure 1 – Une des pages d’accueil de la campagne de malvertising. Celle-ci s’intitule “Collection de templates 2018 : Formulaires, modèles, contrats, échantillons “. Ces documents servaient par la suite les documents trojanisés.

Après avoir été alerté par ESET, Yandex. La filiale publicitaire du géant russe de l’Internet, a immédiatement mis un terme à cette campagne de publicités malveillantes. Les dépôts GitHub utilisés ne contiennent désormais plus que quelques fichiers bénins. En revanche, la page montrée ci-dessus était encore en place il y a quelques jours à peine, et elle servait toujours des documents trojanisés. Mais au moins, les internautes n’y étaient plus dirigés automatiquement par de fausses publicités.

Lire aussi  Plus de 80 millions d'utilisateurs dans le monde profite de la mise à niveau d'EMUI 9

Du fait que les attaquants ont utilisé GitHub, où l’historique des modifications est accessible publiquement, il est possible de voir quels logiciels malveillants ont été distribués à un moment donné. ESET a ainsi pu déterminer qu’il y avait six familles différentes de logiciels malveillants hébergés sur GitHub pendant la durée de la campagne.
Parmi eux se trouvaient notamment deux portes dérobées bien connues, Buhtrap et RTM, toutes deux des chevaux de Troie bancaires.

« Cette campagne est un bon exemple de la façon dont des services publicitaires parfaitement légitimes peuvent être utilisés à mauvais escient par des cybercriminels pour distribuer des logiciels malveillants. Bien que cette campagne cible spécifiquement les organisations russes, nous ne serions pas surpris qu’un tel système soit utilisé pour exploiter des services publicitaires ailleurs dans le monde », conclut Jean-Ian Boutin.

Les chercheurs d’ESET recommandent aux internautes de toujours vérifier que la source qu’ils choisissent pour télécharger leurs logiciels et autres documents est réputée et fiable, afin d’éviter de tomber dans de telles arnaques.