Googkle.com : faux moteur de recherche mais vrai site infectieux

Cloud

F-Secure met à jour un jour un site malicieux qui joue sur l’attrait du moteur de recherche et les éventuelles erreurs de saisie pour infecter les PC.

Ne tapez surtout pas l’URL suivant. Une faute de frappe dans la saisie d’une adresse Internet peut avoir des conséquences fâcheuses. F-Secure a découvert, mardi 26 avril, l’existence du site « Googkle.com », qui n’est autre qu’un nid à logiciels espions et autres chevaux de Troie. « Si un internaute ouvre un site web malicieux, son ordinateur est infecté », précise l’éditeur de solution antivirus sur son site, « de nombreux logiciels malveillants sont automatiquement téléchargés et installés : troyens droppers [employés pour installer d’autres troyens, ndlr], troyens téléchargeurs, portes dérobées, troyens proxy [qui donne un accès anonyme au pirate via la machine de la victime, ndlr], et un troyen espion. »

Cerise sur le gâteau, « quelques adwares [logiciel espion à des fins publicitaires; NDLR] sont installés », complète F-Secure qui recommande de ne surtout pas se rendre sur le site malveillant en question même si toutes les méthodes d’exploitations de failles de sécurité et familles de virus utilisés sont parfaitement connus de l’éditeur. Ceux qui s’y risqueront verront deux pop-up surgir sur leur écran. Lesquelles renvoient automatiquement vers les sites ntsearch.com et toolbarpartner.com qui s’empresseront d’inonder l’internaute de programmes indésirables  (des fichier .chm, .jar ou .JPG) sans son autorisation, naturellement. Certains executables indésirables modifient le système de façon à empêcher les mises à jour antivirales des applications McAfee, Kaspersky et Symantec. Le pire est que la victime reçoit une alerte d’infection… qui l’invite à télécharger des logiciels de sécurité.

Depuis fin 2000

S’il est évidemment facile d’éviter ce site malveillant, il est également aussi facile de se tromper. La proximité des lettres « K » et « L » sur le clavier facilite en effet la faute de frappe. Associer ce potentiel d’erreur humaine à l’un des sites web les plus populaires ouvre un vecteur de contamination que le commun des internautes est loin de soupçonner. Une méthode qui pourrait être exploitée avec les domaines Microsoft, Yahoo et autres sites populaires.

Il est étonnant que cette méthodologie d’attaque n’ait été découverte que récemment (et peut-être purement par hasard). Selon le Whois, l’outil de recherche des dépôts de noms de domaines, Googkle.com a été créé… le 30 décembre 2000. Il est référencé en Russie (à Saint Petersbourg, précisément), tout comme le site ntsearch.com. En revanche, Toolbarpartner.com est enregistré aux Etats-Unis à Tucson. Encore une fois, tenez à jour vos systèmes et antivirus… et faites attention à votre saisie.