Une nouvelle campagne de malvertising visant les utilisateurs de Google Ads alerte les experts en cybersécurité. Cette menace, conçue pour voler des identifiants et des codes de double authentification (2FA), exploite de faux liens publicitaires pour piéger les professionnels et les entreprises, leur subtiliser leurs données sensibles, puis compromettre leurs comptes publicitaires. Active depuis au moins novembre 2024, cette attaque ciblée inquiète les autorités du secteur et expose des failles importantes dans la gestion des publicités en ligne sur Google.
Un stratagème bien rodé pour usurper les identifiants de Google Ads
Des publicités frauduleuses affichées directement sur Google
Les cybercriminels derrière cette campagne utilisent des annonces frauduleuses affichées directement dans les résultats de recherche Google. En ciblant les utilisateurs qui recherchent le terme « Google Ads », les pirates redirigent leurs victimes vers des pages hébergées sur Google Sites. Ces pages servent de ponts vers des sites de phishing conçus pour aspirer les identifiants et les codes de double authentification.
Les experts, comme Jérôme Segura de l’entreprise Malwarebytes, ont documenté cette technique : « Les faux publicitaires imitent Google Ads pour rediriger les utilisateurs vers des pages d’identifications frauduleuses, orchestrées pour maximiser les vols de données critiques. » Ces campagnes se nourrissent des budgets publicitaires volés pour se renforcer et se multiplier.
Une architecture d’attaque sophistiquée
Parmi les spécificités de cette campagne, on note l’utilisation de techniques comme le joueur d’URL, où l’adresse affichée semble légitime (ads.google[.]com) mais redirige en réalité vers des domaines compromis. Avec des stratégies comme le cloaking, la détection anti-bot et des CAPTCHA piégés, les assaillants compliquent sévèrement l’identification et le retrait de leurs infrastructures par les mesures de cybersécurité conventionnelles.
Une autre méthode sophistiquée consiste en l’utilisation d’un WebSocket pour exfiltrer discrètement les données collectées vers un serveur malveillant, échappant souvent à une détection classique.
Un impact massif sur les professionnels de la publicité
Vol de comptes publicitaires et budgets détournés
Une fois les informations d’identification volées, les cybercriminels accèdent aux comptes Google Ads des victimes. Ces derniers ajoutent un nouvel administrateur au compte piraté pour sécuriser leur accès, et exploitent ensuite les budgets des entreprises pour diffuser leurs propres campagnes malveillantes. Ces annonces frauduleuses servent principalement à recruter de nouvelles victimes dans une boucle sans fin.
Les experts notent que des pirates, majoritairement lusophones et opérant probablement depuis le Brésil, participeraient à ces activités. Les noms de domaine utilisés (.pt) et d’autres indices corroborent ces soupçons.
Une vulnérabilité dans les règles publicitaires de Google
Une des failles exploitées par les cybercriminels dans cette campagne réside dans les politiques de Google, qui autorisent l’affichage de liens non vérifiés si les noms de domaine correspondent. Cette lacune permet aux assaillants d’utiliser des plateformes légitimes comme Google Sites pour contourner les contrôles automatisés.
Alors que les utilisateurs de Google Ads sont directement affectés, les chercheurs en cybersécurité s’interrogent sur les mesures prises par Google pour limiter les dommages. La société n’a pour le moment pas proposé de solution claire pour pallier ces vecteurs d’attaques.
La montée en puissance des cyberattaques via des plateformes reconnues
Quand les logiciels piratés propagent des malwares
Cette campagne de phishing via Google Ads s’inscrit dans une tendance plus large, avec l’exemple récent des attaques via YouTube et SoundCloud. Ces plateformes sont utilisées pour rediriger les utilisateurs vers des téléchargeurs malveillants, souvent dissimulés sous forme de logiciels piratés.
Des malwares comme Amadey, Lumma Stealer ou Vidar Stealer exploitent des services de stockage tels que Mediafire ou Mega.nz pour éviter d’être rapidement détectés. Ces malwares jouent un rôle clé dans l’écosystème des cyberattaques actuelles, prouvant que même les services de confiance peuvent être transformés en outils efficaces pour les hackers.
Que peuvent faire les entreprises pour se protéger ?
Face à ces menaces, il est indispensable que les entreprises mettent en place des stratégies solides pour protéger leurs comptes de publicité et leurs données sensibles. Cela comprend l’utilisation d’une double authentification robuste, la surveillance continue des activités publicitaires et l’audit de la liste des administrateurs autorisés sur leurs comptes.
Chez CyberCare, nous développons des solutions de cybersécurité adaptées aux besoins des entreprises, visant à protéger leurs systèmes contre ces nouvelles menaces, notamment les campagnes de phishing et de vol de données. Contactez nos experts pour garantir la sécurité de vos comptes stratégiques et protéger vos investissements publicitaires.