Des acteurs malveillants déploient des Malware via les résultats Google Search avec le mot clé « CCleaner Pro ». Cette nouvelle campagne, baptisée « FakeCrack », a été découverte par les analystes de chez Avast.
Une campagne SEO Black Hat autour de CCleaner
Les acteurs de menaces développent continuellement des techniques de plus en plus sophistiquées pour déployer des Malware. Ces dernières années, l’utilisation du référencement naturel en version Black Hat gagne du terrain.
Avec ces campagnes, les hackers optimisent des sites malveillants de manière à les faire apparaître en première page Google. Ici, la campagne tourne autour du mot clé « CCleaner Pro ». Les opérateurs de la campagne tablent sur la popularité de cet outil de nettoyage pour PC pour espérer un maximum d’infections.
Les analystes derrière cette découverte évoquent jusqu’à 10 000 tentatives d’infection par jour. Ils ont obtenu ces chiffres grâce aux données de télémétrie des clients Avast. Les données indiquent par ailleurs que la plupart des victimes sont établies en France, au Brésil, en Indonésie et en Inde.
Distribution d’un Malware voleur d’informations
Les résultats des recherches sur le mot clé « CCleaner Pro » peuvent diriger les internautes vers des sites Web proposant le téléchargement d’un fichier Zip. Ce dernier contiendrait le fichier d’installation du logiciel CCleaner Pro qui permet de déployer la charge utile.
Pour cette campagne, les cybercriminels utilisent aussi Microsoft Office ou encore Movavi Video. Ceux-ci sont promus via les mots clés suivant : « crack », « clé de série », « activateur de produit » et « téléchargement gratuit ».
En exécutant le fichier, la victime installe un Malware voleur d’informations. Le logiciel malveillant dérobe notamment les informations stockées dans des navigateurs Web. Il peut s’agir des mots de passe, des détails des cartes de crédit enregistrées ou encore des informations d’identification de portefeuille de cryptomonnaie.
Piratage du presse-papiers
Le Malware déployé dans cette campagne surveille également le presse-papiers (mémoire tampon). Grâce à quoi, les acteurs malveillants ont la possibilité de remplacer par exemple les adresses de portefeuille crypto par une autre.
La nouvelle adresse utilisée permet au hacker de contrôler les mouvements du portefeuille et de détourner les fonds. Ce piratage fonctionne avec de nombreuses cryptos, dont Bitcoin, Ethereum, Cardano, Terra, Nano, Ronin et Bitcoin Cash.
Cette campagne de Malware abusant du SEO est déjà très répandue. Télécharger les versions officielles des logiciels sur les sites légitimes reste la meilleure façon de s’en protéger.
Avast a émis ce communiqué :
« Pour cette campagne, les cybercriminels abusent des noms de marque de logiciels populaires, en faisant la promotion de versions illégales et piratées de ces derniers pour inciter les utilisateurs à télécharger le Malware. Les noms de marque utilisés à tort pour cette campagne sont par exemple « CCleaner Pro Windows », mais aussi « Microsoft Office », « Movavi Video Editor 22.2.1 Crack », « IDM Download Free Full Version With Serial Key », « Movavi Video Editor 22.2.1 Crack », « Crack Office 2016 Full Crack + Product Key (Activator) 2022 ». Nous recommandons aux utilisateurs de toujours s’en tenir aux versions officielles des logiciels plutôt qu’aux versions piratées. »
- Partager l'article :