Les applications VPN sont de plus en plus populaires auprès du public. Il semble que les acteurs malveillants en aient pris conscience et les aient intégrés dans leurs innombrables stratégies pour tenter de tromper les victimes potentielles. Google met désormais en garde contre une menace impliquant des applications VPN trojanisées et la manipulation des résultats de recherche pour installer des logiciels malveillants.
L'équipe Managed Defense de Google a repéré une méthode consistant à inciter l'utilisateur à télécharger des applications VPN à partir de sites Web malveillants prétendant être les sites officiels. L'application VPN est un cheval de Troie de sorte qu'en l'installant, les attaquants peuvent obtenir une série de privilèges d'action à distance sur votre PC.
Google met en garde contre une menace basée sur des applications VPN trojanisées
Selon le rapport des chercheurs, « le les logiciels malveillants sont regroupés avec des applications populaires, comme LetsVPN, et distribués via un empoisonnement SEO.» L’empoisonnement SEO est une méthode de manipulation utilisée par les attaquants pour placer leurs propres sites Web en haut des résultats de recherche. Cela donne l’impression aux utilisateurs qu’ils accèdent à un site Web légitime alors qu’en réalité il s’agit d’un site malveillant.
La plupart du temps, les gens pensent qu’un site Web est plus fiable ou réel s’il figure plus haut dans les résultats de recherche. L’empoisonnement SEO s’applique principalement aux résultats liés aux téléchargements d’applications VPN. Cependant, les premiers résultats conduisent en fait au téléchargement de chevaux de Troie VPN infectés par le malware « Playfulghost ». Playfulghost est « une porte dérobée qui partage des fonctionnalités avec Gh0st RAT,», dit le rapport.
Gh0st RAT (Remote Access Terminal) est un outil d'administration à distance qui existe depuis au moins 2008. Les attaques basées sur sa technologie ne sont donc pas vraiment nouvelles. Playfulghost est similaire. Cependant, il possède ses propres modèles de trafic et de cryptage qui le rendent suffisamment différent pour être qualifié d’outil différent.
Le malware donnera un accès à distance à votre PC aux attaquants
Playfulghost offre plusieurs possibilités de contrôle à distance de l'ordinateur infecté à l'attaquant. Les acteurs malveillants peuvent par exemple ouvrir, supprimer et écrire de nouveaux fichiers. De plus, l'outil est capable de capturer et d'envoyer à un serveur distant des journaux de clés, des captures d'écran et de l'audio.
L’empoisonnement SEO n’est pas la seule méthode astucieuse utilisée par les attaquants. Ils recourent également à des attaques de phishing classiques via des e-mails contenant des liens vers des sites malveillants à partir desquels télécharger des VPN troyens. Il convient de noter qu'il existe également des cas d'infection par des exécutables camouflés. Google décrit le cas d'une victime qui a ouvert une « image » qui était en réalité le malware Playfulghost.
Compte tenu de ce que nous avons vu, on ne peut pas se fier à 100 % au positionnement d’un site Web dans les résultats des moteurs de recherche pour déterminer sa légitimité. Ainsi, lorsque vous souhaitez télécharger un logiciel, il est préférable de saisir le nom du site officiel. Cela vous prendra plus de temps, mais cela pourrait vous éviter bien des maux de tête.
