Des milliers de sites Web appartenant à des agences gouvernementales américaines, des universités de premier plan et des organisations professionnelles ont été détournés au cours de la dernière demi-décennie et utilisés pour proposer des offres et des promotions frauduleuses, selon de nouvelles recherches. Beaucoup de ces escroqueries visent les enfants et tentent de les inciter à télécharger des applications, des logiciels malveillants ou à soumettre des informations personnelles en échange de récompenses inexistantes dans Fortnite et Roblox.
Depuis plus de trois ans, le chercheur en sécurité Zach Edwards suit ces détournements de sites Web et ces escroqueries. Il dit que l’activité peut être liée aux activités des utilisateurs affiliés d’une société de publicité. La société enregistrée aux États-Unis agit comme un service qui envoie du trafic Web à une gamme d’annonceurs en ligne, permettant aux particuliers de s’inscrire et d’utiliser ses systèmes. Cependant, chaque jour, Edwards, un responsable principal des informations sur les menaces chez Sécurité humainedécouvre des dizaines de domaines .gov, .org et .org compromis.
« Ce groupe est ce que je considérerais comme le groupe numéro un en matière de compromission massive de l’infrastructure sur Internet et d’hébergement d’escroqueries et d’autres types d’exploits », déclare Edwards. L’ampleur des compromissions du site Web – qui sont en cours – et la nature publique des escroqueries les distinguent, explique le chercheur.
Les stratagèmes et les façons dont les gens gagnent de l’argent sont complexes, mais chacun des sites Web est détourné de la même manière. Les vulnérabilités ou les faiblesses du backend d’un site Web ou de son système de gestion de contenu sont exploitées par des attaquants qui téléchargent des fichiers PDF malveillants sur le site Web. Ces documents, qu’Edwards appelle des « fichiers PDF empoisonnés », sont conçus pour apparaître dans les moteurs de recherche et promouvoir la « Fortnite skins », générateurs de Robloxde la monnaie du jeu, ou des flux bon marché de Barbie, Oppenheimer, et d’autres films populaires. Les fichiers sont remplis de mots que les gens peuvent rechercher sur ces sujets.
Lorsque quelqu’un clique sur les liens dans les fichiers PDF empoisonnés, il peut être poussé sur plusieurs sites Web, ce qui le dirige finalement vers des pages de destination frauduleuses, explique Edwards, qui a présenté les résultats lors de la conférence sur la sécurité Black Hat à Las Vegas. Il y a « beaucoup de pages de destination qui semblent super ciblées sur les enfants », dit-il.
Par exemple, si vous cliquez sur le lien dans un PDF annonçant des pièces gratuites pour un jeu en ligne, vous êtes dirigé vers un site Web où il vous demande votre nom d’utilisateur et votre système d’exploitation dans le jeu, avant de vous demander combien de pièces vous souhaitez gratuitement. Une fenêtre contextuelle apparaît indiquant « Dernière étape ! » Cette « page de casier » affirme que les pièces de jeu gratuites seront déverrouillées si vous vous inscrivez à un autre service, entrez des informations personnelles ou téléchargez une application. « Je l’ai testé des centaines de fois », déclare Edwards. Il n’a jamais reçu de récompense. Lorsque les gens sont guidés à travers ce labyrinthe de pages et finissent par télécharger une application, saisir des informations personnelles ou un certain nombre d’actions requises, ceux qui sont à l’origine des escroqueries peuvent gagner de l’argent.
Ces types d’escroqueries existent depuis un certain temps, selon les chercheurs sur la fraude publicitaire. Mais ceux-ci se démarquent, car ils ont tous des liens vers la société de publicité CPABuild et les membres qui travaillent pour son réseau, dit Edwards. Tous les sites Web compromis sur lesquels des fichiers PDF ont été téléchargés appellent des serveurs de commande et de contrôle appartenant à CPABuild, explique Edwards. « Ils poussent des campagnes publicitaires dans l’infrastructure de quelqu’un d’autre », dit-il. Googler pour un fichier lié aux fichiers PDF fait apparaître des pages de résultats de sites Web compromis.