Les cybercriminels déploient des astuces d’optimisation des moteurs de recherche (SEO) pour pousser les domaines malveillants dans les classements de recherche Google, ont découvert des chercheurs en sécurité.

Selon un rapport de l’équipe de sécurité d’AT&T, en plus de diffuser des logiciels malveillants via des campagnes par e-mail, les opérateurs à l’origine du tristement célèbre ransomware Sodinokini ciblent les phrases clés couramment saisies dans Google.

Dans le scénario analysé dans le rapport, un client a fini par télécharger un fichier JavaScript truqué à partir d’un domaine malveillant. Le site Web était apparu sur la première page de Google, en huitième position, pour le terme de recherche « réciprocité fiscale du Missouri et du Kansas ».

« Il y a un dicton qui dit que rien ne peut être certain, sauf la mort et les impôts ; dans le paysage actuel des cybermenaces, nous pouvons ajouter des ransomwares à cette liste restreinte », a écrit Ken Ng, chercheur chez AT&T. « Dans cet incident, l’un des [our] les clients ont failli avoir un incident au carrefour des taxes et des ransomwares. »

SEO pour les cybercriminels

Bien que l’attaque ait été atténuée automatiquement par les protections de sécurité en place, AT&T a estimé que l’incident méritait une enquête plus approfondie, car il n’était pas immédiatement clair comment l’individu s’était retrouvé avec l’infection.

“Une fois que nous avons eu une idée de ce à quoi le JavaScript a conduit, nous pourrions essayer de trouver comment l’utilisateur a potentiellement obtenu le fichier”, a expliqué AT&T. « En tirant parti des informations du nom du fichier, ainsi que d’un certain contexte avec le fichier PDF que l’utilisateur a pu obtenir à partir d’un site légitime, nous avons pu imiter les actions de l’utilisateur. »

Lorsque les chercheurs ont finalement retrouvé le domaine incriminé, ils ont découvert qu’il se démarquait parce qu’il utilisait HTTP, et non HTTPS (un protocole plus sécurisé), et parce que l’URL elle-même n’avait rien à voir avec le titre de la page, qui avait été conçue avec le référencement. à l’esprit.

La page elle-même aurait été « extrêmement suspecte et clairsemée », contenant un lien pour télécharger la réponse à la requête de recherche initiale : « Le Missouri a-t-il un accord de réciprocité avec le Kansas ? ».

La spécificité de ce niveau de ciblage est alarmante (après tout, un nombre relativement faible de personnes est susceptible de faire cette requête particulière) et soulève la question : combien d’autres termes clés sont ciblés par Sodinokibi et d’autres cybercriminels ?

Pour se protéger contre de telles attaques, il est conseillé aux utilisateurs de s’assurer que leurs appareils sont protégés par un service antivirus de premier plan, d’éviter les sites Web non protégés par HTTPS et d’éviter de télécharger du contenu provenant de sources inconnues.