Les utilisateurs qui cherchent simplement à télécharger le navigateur Web le plus populaire au monde peuvent accidentellement infecter leurs systèmes par des logiciels malveillants, indique un nouveau rapport de MalwareBytes Labs.

Appelé Sectoprat, le malware se cache à l'intérieur d'une annonce malveillante qui prétend être un installateur de Google Chrome. Cependant, toute personne qui clique sur l'annonce est plutôt canalisée sur un faux site Web Google conçu pour imiter intelligemment la page légitime. Une redirection finale télécharge un grand fichier exécutable déguisé en téléchargement de Chrome mais qui comprend également le malware sectoprat.

Le programme d'installation se connecte et récupère toutes les instructions nécessaires, y compris les demandes à exécuter en tant qu'administrateur afin d'effectuer des tâches particulières. Une commande PowerShell ajoute un chemin d'exclusion afin que Windows Defender ne soit pas déclenché lorsque le malware est extrait du téléchargement.

Le code malveillant est injecté dans le processus de téléchargement légitime, de sorte que le navigateur Chrome de Google lui-même est toujours téléchargé comme d'habitude; L'utilisateur ne soupçonne pas que quelque chose se passe. Sectoprat est un cheval de Troie d'accès à distance avec des capacités de voleur, il préfère donc fonctionner en arrière-plan sans être remarqué.

Un exemple d'une fausse URL qui imite un téléchargement chromé pour répandre les logiciels malveillants

Tout comme la campagne de phishing du compte Google massive vu plus tôt cette année, les pirates ont fait de grands efforts pour que leur faux site Web ressemble à la page Google réelle. Lors de la recherche de «Télécharger Google Chrome», l'URL dans le résultat sponsorisé de la fausse page est «https://sites.google.com» qui est en fait l'adresse Web du Builder de site Web gratuit de Google.

Il est particulièrement flagrant que les pirates derrière cette campagne aient utilisé le constructeur de sites Web gratuit de l'entreprise pour créer une page semblable à un look pour infecter les utilisateurs sans méfiance. Cependant, comme toutes les pages avec une adresse Sites.google.com sont générées par l'utilisateur et font partie d'une plate-forme ouverte, elles peuvent facilement être confondues avec les pages générées par Google lui-même.

Comment rester en sécurité

MalwareBytes souligne dans son rapport que son logiciel de sécurité a pu protéger les utilisateurs de cette attaque, donc avoir des logiciels antivirus installés et à jour sur votre système est d'une nécessité absolue pour vous protéger contre des attaques très convaincantes comme celle-ci. Dans le même temps, vous voulez également être conscient des techniques et méthodes d'attaque de phishing les plus courantes, savoir où aller pour acquérir un logiciel en toute sécurité et ne jamais cliquer sur (ou numériser) des liens inattendus, des PDF ou des codes QR.

L'utilisation croissante de l'IA et des logiciels malveillants comme attaques de style de service signifie qu'il est de plus en plus difficile pour les utilisateurs de faire la distinction entre les sites légitimes et les e-mails et les e-mails malveillants, donc avoir l'une des meilleures suites logicielles antivirus sur votre PC est un must.

Vous allez également vouloir vous assurer que vous activez toujours l'authentification multi-facteurs chaque fois que possible, utilisez un gestionnaire de mots de passe pour protéger vos comptes en ligne, et surtout lorsqu'ils sont fournis par votre suite antivirus, utilisez un VPN.

Étant donné que Google Chrome est de loin le navigateur le plus populaire, des attaques comme celle-ci continueront probablement à se produire car il est facile pour les pirates d'identiter le géant de la recherche. Avec un peu de chance, Google commence à réprimer davantage les publicités malveillantes et à rendre plus difficile pour les pirates et autres cybercriminels d'acheter un espace publicitaire en premier lieu.