Les chercheurs de Silen Push ont identifié une série de campagnes de publicité malveillante ciblant les professionnels du graphisme, tirant parti des publicités de la recherche Google pour diffuser des logiciels malveillants. Les attaques ont débuté en novembre 2024 et ont utilisé deux adresses IP, 185.11.61.243 et 185.147.124.110, pour héberger plusieurs domaines malveillants. Ces publicités redirigent les utilisateurs vers des sites Web qui lancent des téléchargements nuisibles, posant une menace de sécurité importante pour les victimes sans méfiance.
Les pirates exploitent les publicités Google pour cibler les graphistes
Le principal vecteur d’attaque implique des domaines frauduleux qui imitent des logiciels de conception graphique légitimes, avec des campagnes lancées presque quotidiennement. Les domaines notables connectés à ce programme incluent frecadsolutions.com, freecad-solutions.net et rhino3dsolutions.io. Chaque campagne aurait utilisé des adresses IP dédiées pour masquer l’activité malveillante derrière une publicité apparemment légitime.
Les campagnes de publicité malveillante se poursuivent depuis le 13 novembre 2024 et exploitent de nombreux domaines pour diffuser du contenu nuisible. La première campagne a été hébergée sur frecadsolutions.com et est devenue active le 6 novembre 2024. Les campagnes suivantes ont utilisé des noms de domaine légèrement modifiés pour échapper à la détection, avec des campagnes notées sur des sites comme planificateur5design.net et des variantes de solutions freecad.
Comme le détaillent les conclusions de Silent Push, les acteurs malveillants ont orchestré une opération bien structurée. En exploitant les vulnérabilités des réseaux publicitaires, ces attaquants redirigent les utilisateurs des publicités Google vers des sites Web malveillants proposant des téléchargements de logiciels trompeurs se faisant passer pour des outils de CAO. L’utilisation d’outils hébergés sur des plateformes fiables telles que Bitbucket ajoute de la crédibilité à leurs liens malveillants, augmentant ainsi la probabilité de téléchargements par des utilisateurs peu méfiants.
De plus, Silent Push souligne que l’identification de ces menaces devrait être simple grâce à des enquêtes de base sur le domaine et l’adresse IP, mais les attaquants continuent d’opérer sans se laisser décourager, mettant en évidence les failles potentielles des capacités de surveillance des publicités de Google. Les recherches indiquent que jusqu’à dix campagnes distinctes ont utilisé la même infrastructure publicitaire, démontrant l’approche méthodique des attaquants.
Aperçu technique des adresses IP et des domaines
Les adresses IP impliquées, 185.11.61.243 et 185.147.124.110, ont connu une activité constante avec plusieurs domaines uniques qui leur sont mappés. La première adresse IP est active depuis le 29 juillet, hébergeant plus de 109 domaines uniques. Pendant ce temps, la deuxième IP a commencé ses opérations le 25 novembre 2024 et est actuellement liée à 85 domaines uniques conçus pour distribuer des logiciels malveillants.
Le 14 novembre 2024, une campagne a été lancée sur frecadsolutions.cc, utilisant Bitbucket pour l’hébergement de fichiers. Cette tendance s’est poursuivie avec l’apparition de freecad-solutions.net le 26 novembre, qui était initialement lié à la première IP mais a ensuite migré vers la seconde. Cela illustre un effort coordonné entre les attaquants pour maintenir leurs opérations malgré leurs tentatives de dissimulation de leurs traces via la commutation IP.
Une série de campagnes s’est poursuivie jusqu’en décembre, activant des domaines comme rhino3dsolutions.net et planificateur5design.net, qui ont vu leur hébergement migré entre les deux adresses IP malveillantes. La nature continue de ces attaques suscite des inquiétudes quant à l’efficacité des mesures de protection actuelles contre des systèmes de publicité malveillante aussi sophistiqués.
Quant à la nature des menaces posées, des rapports récents suggèrent que ces individus pourraient également exploiter les vulnérabilités des navigateurs Web et des réseaux publicitaires, augmentant ainsi le risque pour les utilisateurs qui cliquent par inadvertance sur ces publicités. L’ampleur et la persistance de ces campagnes soulignent le besoin de vigilance de la part des professionnels du graphisme et du grand public.
Crédit image en vedette : Pankaj Patel/Unsplash
