Google a participé à déployer un virus sur Mac
Sans le savoir. Mais quand même !
Lorsqu’un commerçant souhaite publier une annonce sur Google, il doit simplement effectuer quelques manipulations sur le site de publicité du GAFAM : Google Ads. Qui est la principale source de revenus du géant du web.
Le problème dans tout ça, c’est que malgré les nombreuses mesures mises en place par Google pour s’assurer de la fiabilité des annonces, et ainsi garantir la sécurité de ses utilisateurs, certaines passent à la trappe. Ce qui est notamment dû au fait que Google dispose d’un grand nombre de données à traiter. De plus, les annonces malveillantes utilisent des techniques de camouflage, leur permettant ainsi de se faire passer pour une entreprise fiable.
C’est ce qui est récemment arrivé avec une annonce qui, a vu d’œil, n’avait rien de suspecte. Cette dernière a été mise en évidence par les chercheurs du célèbre logiciel de sécurité MalwareBytes.
Ils font passer leur virus pour une application connue
Les pirates, basés en Biélorussie, ont usurpé l’identité de l’entreprise TradingView, une plateforme d’analyse technique et de trading en ligne très populaire. Pour preuve, le mot clé “tradingview” comptabilise pas moins de 246 00 recherches mensuelles sur Google, et cela concerne uniquement la France. Les pirates ont donc profité de sa popularité pour publier une annonce en leur nom afin d’attirer des utilisateurs Mac (pas que) dans leur piège.
Voici à quoi ressemblait l’annonce :
©Malwarebytes
On peut facilement comprendre que certaines personnes aient cliqué dessus. En effet, il n’y a à la base aucune raison d’être méfiant au vu de la confiance générale accordée à Google. Or, cette annonce prouve qu’il faut toujours se méfier.
Une page de phishing
Après avoir cliqué sur l’annonce, les piégés atterrissaient sur une page similaire à celle de l’original. La voici :
© Malwarebytes
En observant l’URL, on remarque que cette dernière n’est pas l’original, mais encore une fois, en resituant le contexte, il n’y avait pas de raison pour les piégés d’y faire attention.
Si on clique, que se passe-t-il ?
D’après les chercheurs MalwareBytes, les personnes qui ont souhaité télécharger TradingView depuis la page de phishing se sont sans doute fait voler des données sensibles. Le fichier téléchargé se nomme “tradingview.dmg”, mais cache en réalité un des logiciels malveillants faisant partie des plus dangereux du moment : Atomic Stealer. Ce dernier est capable de subtiliser des données telles que : les mots de passe de la cible, ses informations personnelles, et même des informations bancaires.
Morale de l’histoire : installez toujours vos applications et vos logiciels depuis l’App Store. Et si le programme que vous souhaitez obtenir n’y est pas disponible, vérifiez bien l’URL de le page de téléchargement. Ce genre d’histoire rappelle pourquoi Apple est si réticent à l’introduction du sideloading imposée par l’Union européenne.
