La barre Google exploitée sous une nouvelle forme de phishing
Une fausse barre du moteur, propagée à partir de services de messagerie instantanée, vise à récupérer les numéros de cartes bancaires.
Les auteurs de virus et autres agents malveillants viennent de trouver un nouveau vecteur de communication de leurs méfaits à travers la barre Google, a rapporté, le 5 octobre, la société de sécurité FaceTime. Selon ce spécialiste en sécurité basé à Foster en Californie, des liens pour télécharger une fausse barre Google circulent sur les réseaux des messageries instantanées et IRC.
Rappelons que la barre Google est un module complémentaire qui, intégré aux navigateurs Internet Explorer ou Firefox, optimise la recherche en ligne et propose certaines fonctionnalités comme le blocage des pop-up, un traducteur, un moteur de recherche local ou un correcteur orthographique (voir édition du 8 juillet 2005). Un utilitaire dont le succès n’a pas échappé aux pirates qui exploitent aujourd’hui la popularité de la barre pour propager leurs méfaits.
CoolWebSearch au premier rang
Car, selon FaceTime, derrière cette fausse barre Google se cache rien d’autre que CoolWebSearch (CWS), l’un des logiciels espions les plus virulents du Web et qui compte une centaine de variantes (voir édition du 6 mai 2005). Dans le cas présent, une fois la barre délictueuse installée, CWS tente, par différentes méthodes, de recueillir les numéros de carte de crédit des utilisateurs.
Selon FaceTime, deux liens vers le logiciel frauduleux circulent actuellement sur les réseaux de messagerie. L’activation de l’un d’eux mène l’utilisateur à une page piège qui démarre l’installation de la fausse barre Google tout en ouvrant un fichier d’aide Windows.
Une fois installée (et après redémarrage de l’ordinateur), rien ne distingue à première vue la barre délictueuse de la vraie barre d’outils du célèbre moteur de recherche. Si ce n’est que la première lance un programme nommé World Antispy, qui est certainement tout sauf un logiciel anti-espion.
Troisième génération d’attaque
Une fois installée, la fausse barre d’outils détourne le fichier Hosts pour rediriger les requêtes des domaines Google et installe une fausse page d’accueil de Google dans le répertoire des fichiers Internet temporaire (Temporary Internet Files) de Windows, laissant ainsi croire à l’utilisateur que se requête est bien traitée par Google. Paradoxalement, il se peut que le programme malveillant ouvre des fenêtres pop-up affichant des demandes de renseignements sur les cartes de crédit, voire des publicités à caractère pornographique (ce qui a l’avantage de renseigner sur la véritable nature de la barre d’outils).
Selon Christopher Boyd, responsable de la recherche en sécurité du laboratoire de FaceTime, « le groupe derrière cela tente d’exploiter Google depuis 2003 ».
Ce type de détournement en serait à sa troisième version. Mais c’est la première fois qu’une attaque par phishing (méthode visant à tromper l’utilisateur pour obtenir de sa main des données personnelles) mêlée à l’utilisation d’un utilitaire populaire apparaît sur les réseaux de messagerie instantanée.