Les pirates utilisent Punycode pour créer des URL d’apparence authentique dans les publicités Google

Une tactique courante pour inciter les gens à télécharger et à installer des logiciels malveillants consiste à les inciter à cliquer sur une annonce de recherche déguisée en entreprise légitime qui fabrique le logiciel souhaité. Malwarebytes rapporte que les attaquants utilisent désormais Punycode dans Google Ads pour rendre leurs URL encore plus authentiques.

Cette tactique est appelée « attaque homographe » car elle utilise des caractères Unicode d’écritures non latines, comme le cyrillique, l’arabe, le grec, le chinois et autres, pour créer une URL clonée qui mène à un site Web frauduleux. Malwarebytes cite comme exemple une publicité Google malveillante récemment trouvée pour le gestionnaire de mots de passe KeePass.

Auparavant, les attaquants utilisaient des sous-domaines et des extensions similaires au site qu’ils imitent pour inciter les utilisateurs à cliquer, mais ceux-ci sont assez faciles à repérer. Cependant, en traduisant une URL en Punycode, les mauvais acteurs peuvent créer une adresse qui semble totalement authentique.

Comme vous pouvez le voir dans l’image ci-dessus, la fausse URL semble identique à l’authentique en dessous. Cette astuce est suffisamment sournoise pour tromper les utilisateurs les plus attentifs et les plus férus de technologie. Le seul cadeau apparaît après avoir cliqué sur la fausse annonce et accédé au site Web malveillant. Une fois sur place, la barre d’adresse du navigateur affichera l’adresse en Unicode, révélant ainsi la ruse. Malheureusement, à moins que l’utilisateur sache qu’il pourrait s’agir d’une arnaque, la plupart ne regarderont même pas la barre d’adresse, surtout lorsque le site Web qui apparaît est presque identique à celui de l’éditeur de logiciels.

Cependant, même en regardant l’adresse Unicode dans le navigateur, les utilisateurs pourraient toujours manquer le signal visuel subtil s’ils ne regardent pas attentivement. Remarquez dans l’image ci-dessous que la seule différence entre l’adresse légitime à gauche et la fausse adresse à droite est le petit symbole sous le « k ». Les utilisateurs pourraient facilement manquer ce signe ou le considérer comme une tache sur leur moniteur.

Les attaques homographes existent depuis un certain temps, mais c’est la première fois que Malwarebytes les voit utilisées conjointement avec les publicités Google. Malheureusement, il n’existe pas de solution simple, surtout si les attaquants utilisent d’autres techniques pour donner l’impression que leurs faux sites sont réels.

Le mieux est d’éviter de cliquer sur les annonces des résultats de recherche lorsque vous recherchez un logiciel. Il est préférable d’accéder directement au site Web de l’entreprise et de rechercher le logiciel directement à partir de la source ou d’utiliser un miroir fiable comme Metatrone Downloads. Nous authentifions tous nos téléchargements, en analysant les logiciels localement et via VirusTotal pour garantir qu’ils sont exempts de logiciels malveillants.

Conclusion : évitez de cliquer sur les annonces dans les résultats de recherche Google. Nous avons émis des avertissements similaires selon lesquels on ne peut pas leur faire confiance. Au moins, vous transmettez à Google vos préférences publicitaires à ajouter à votre profil publicitaire existant (et probablement étendu). Dans le pire des cas, vous pourriez atterrir sur un site Web qui vous veut du mal. Jusqu’à ce que Google trouve un moyen d’empêcher les mauvais acteurs d’abuser de sa plateforme publicitaire, il n’y a vraiment aucune raison légitime de cliquer sur leurs publicités.