En un mot: Si vous avez déjà été redirigé vers un site Web de questions-réponses d’aspect étrange semblant promouvoir la crypto-monnaie ou d’autres technologies de blockchain, cela pourrait faire partie d’une arnaque de pompage de clics publicitaires. Depuis l’automne dernier, des milliers de sites Web infectés ont été piégés dans ces stratagèmes frauduleux.
Les chercheurs en sécurité de Sucuri ont passé les derniers mois suivi malware qui détourne les utilisateurs vers des pages frauduleuses pour gonfler les impressions d’annonces Google. La campagne a infecté plus de 10 000 sites Web, les obligeant à rediriger les visiteurs vers des sites de spam complètement différents.
Les pages suspectes ont souvent des formulaires de questions-réponses mentionnant Bitcoin ou d’autres sujets liés à la blockchain. Les utilisateurs avertis pourraient supposer que ces sites essaient de vendre du Bitcoin ou d’autres crypto-monnaies, éventuellement pour un système de pompage et de vidage. C’est peut-être le cas, mais Sucuri théorise que tout le texte n’est que du contenu de remplissage couvrant le flux de revenus réel de l’escroquerie, les vues d’annonces Google.
Un indice suggérant cela est que de nombreuses URL impliquées apparaissent dans la barre d’adresse d’un navigateur comme si l’utilisateur cliquait sur les résultats de recherche Google menant aux sites en question. La ruse pourrait être une tentative de déguiser les redirections en clics à partir des résultats de recherche dans le backend de Google, gonflant potentiellement les impressions de recherche pour les revenus publicitaires. Cependant, il n’est pas clair si cette astuce fonctionne car Google n’enregistre aucun clic sur les résultats de recherche correspondant aux redirections déguisées.
Sucuri a remarqué le logiciel malveillant pour la première fois en septembre, mais la campagne s’est intensifiée après que le groupe de sécurité premier rapport en novembre. Rien qu’en 2023, les chercheurs ont suivi plus de 2 600 sites infectés redirigeant les visiteurs vers plus de 70 nouveaux domaines frauduleux.
Les escrocs ont d’abord caché leurs véritables adresses IP à l’aide de CloudFlare, mais le service les a démarrés après l’histoire de novembre. Ils ont depuis migré vers DDoS-Guard, un service russe similaire mais controversé.
La campagne cible principalement les sites WordPress, suggérant des vulnérabilités WordPress zero-day existantes. De plus, le code malveillant peut se cacher par obscurcissement. Il peut également être temporairement désactivé lorsque les administrateurs se connectent. Les opérateurs de sites doivent sécuriser leurs panneaux d’administration via une authentification à deux facteurs et s’assurer que le logiciel de leurs sites est à jour.
Cette campagne n’est pas le seul lecteur de logiciels malveillants récent connecté aux annonces Google. Des acteurs malveillants ont également usurpé l’identité d’applications logicielles populaires pour diffuser des logiciels malveillants aux utilisateurs, faisant en sorte que le classement des annonces de Google apparaisse en haut des résultats de recherche. Pour l’instant, ceux qui cherchent à télécharger des applications comme Discord ou Gimp doivent éviter de les rechercher via Google.