Microsoft Edge : Des pirates injectent de fausses publicités dans le flux d’actualités du navigateur de Microsoft pour piéger les utilisateurs. En cliquant dessus, ils sont redirigés vers des pages frauduleuses dissimulant une escroquerie au support technique.
Les chercheurs en sécurité de l’éditeur antivirus Malwarebytes ont découvert une importante campagne de publicités malveillantes touchant le navigateur web Microsoft Edge. Pour arriver à leurs fins, les pirates se servent du fil d’actualité affiché sur la page d’accueil du navigateur web de Microsoft. Au milieu des différents blocs d’actualité affichés, ils diffusent des publicités frauduleuses qui, en fonction d’un scénario précis, peuvent ensuite rediriger les victimes vers une page d’arnaque au support informatique.
Concrètement, lorsqu’une potentielle victime clique sur une publicité malveillante, la requête est envoyée à Taboola, un réseau publicitaire en ligne. À l’aide d’une API dédiée, les pirates peuvent alors obtenir une rémunération pour le clic obtenu sur la publicité.
Le serveur interrogé envoie ensuite une réponse contenant une URL frauduleuse renseignée par les pirates. Et c’est une fois que la requête vers cette URL est validée qu’un morceau de code Javascript est récupéré pour vérifier si le profil de la potentielle victime est intéressant pour les pirates.
L’équipe de Malwarebytes explique ainsi que le but de ce script est de faire le tri en redirigeant les victimes vers la page hébergeant l’arnaque, et en renvoyant les bots, VPN, etc. vers une page leurre sans danger. Le but de l’opération est de bloquer les utilisateurs sur une page affichant un message alarmiste, indiquant la présence d’un horrible virus, avec ce qui est censé être un numéro de téléphone vers une ligne de support informatique. Le but de l’opération finale est, vous vous en doutez, de faire payer la victime pour « éradiquer » le virus qui n’existe pas en réalité.
Même si cette méthode est déjà très répandue, Malwarebytes relève que l’infrastructure Cloud utilisée dans ce cas précis rend son blocage extrêmement complexe. Les malfrats, qui semblent opérer depuis l’Inde, s’appuient en effet sur des dizaines de sous-domaines pour brouiller les pistes. S’il vous arrive de tomber sur l’une de ces pages, fermez immédiatement l’onglet concerné sans y prêter plus d’attention, et tracez votre route.