Pour gérer vos consentements :
Categories: Cloud

La barre Google exploitée sous une nouvelle forme de phishing

Les auteurs de virus et autres agents malveillants viennent de trouver un nouveau vecteur de communication de leurs méfaits à travers la barre Google, a rapporté, le 5 octobre, la société de sécurité FaceTime. Selon ce spécialiste en sécurité basé à Foster en Californie, des liens pour télécharger une fausse barre Google circulent sur les réseaux des messageries instantanées et IRC.

Rappelons que la barre Google est un module complémentaire qui, intégré aux navigateurs Internet Explorer ou Firefox, optimise la recherche en ligne et propose certaines fonctionnalités comme le blocage des pop-up, un traducteur, un moteur de recherche local ou un correcteur orthographique (voir édition du 8 juillet 2005). Un utilitaire dont le succès n’a pas échappé aux pirates qui exploitent aujourd’hui la popularité de la barre pour propager leurs méfaits.

CoolWebSearch au premier rang

Car, selon FaceTime, derrière cette fausse barre Google se cache rien d’autre que CoolWebSearch (CWS), l’un des logiciels espions les plus virulents du Web et qui compte une centaine de variantes (voir édition du 6 mai 2005). Dans le cas présent, une fois la barre délictueuse installée, CWS tente, par différentes méthodes, de recueillir les numéros de carte de crédit des utilisateurs.

Selon FaceTime, deux liens vers le logiciel frauduleux circulent actuellement sur les réseaux de messagerie. L’activation de l’un d’eux mène l’utilisateur à une page piège qui démarre l’installation de la fausse barre Google tout en ouvrant un fichier d’aide Windows.

Une fois installée (et après redémarrage de l’ordinateur), rien ne distingue à première vue la barre délictueuse de la vraie barre d’outils du célèbre moteur de recherche. Si ce n’est que la première lance un programme nommé World Antispy, qui est certainement tout sauf un logiciel anti-espion.

Troisième génération d’attaque

Une fois installée, la fausse barre d’outils détourne le fichier Hosts pour rediriger les requêtes des domaines Google et installe une fausse page d’accueil de Google dans le répertoire des fichiers Internet temporaire (Temporary Internet Files) de Windows, laissant ainsi croire à l’utilisateur que se requête est bien traitée par Google. Paradoxalement, il se peut que le programme malveillant ouvre des fenêtres pop-up affichant des demandes de renseignements sur les cartes de crédit, voire des publicités à caractère pornographique (ce qui a l’avantage de renseigner sur la véritable nature de la barre d’outils).

Selon Christopher Boyd, responsable de la recherche en sécurité du laboratoire de FaceTime, « le groupe derrière cela tente d’exploiter Google depuis 2003 ».

Ce type de détournement en serait à sa troisième version. Mais c’est la première fois qu’une attaque par phishing (méthode visant à tromper l’utilisateur pour obtenir de sa main des données personnelles) mêlée à l’utilisation d’un utilitaire populaire apparaît sur les réseaux de messagerie instantanée.

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

1 jour ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

1 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

2 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago