Des milliers de sites Web appartenant à des agences gouvernementales américaines, à des universités de premier plan et à des organisations professionnelles ont été piratés au cours de la dernière demi-décennie et utilisés pour proposer des offres et des promotions frauduleuses, selon de nouvelles recherches. Beaucoup de ces escroqueries visent les enfants et tentent de les inciter à télécharger des applications, des logiciels malveillants ou à soumettre des informations personnelles en échange de récompenses inexistantes dans Fortnite et Roblox.
Depuis plus de trois ans, le chercheur en sécurité Zach Edwards suit ces détournements de sites Web et ces escroqueries. Il dit que l’activité peut être liée aux activités des utilisateurs affiliés d’une société de publicité. La société enregistrée aux États-Unis agit comme un service qui envoie du trafic Web à une gamme d’annonceurs en ligne, permettant aux particuliers de s’inscrire et d’utiliser ses systèmes. Cependant, chaque jour, Edwards, un responsable principal des informations sur les menaces chez Sécurité humainedécouvre des dizaines de domaines .gov, .org et .edu compromis.
« Ce groupe est ce que je considérerais comme le groupe numéro un en matière de compromission massive de l’infrastructure sur Internet et d’hébergement d’escroqueries et d’autres types d’exploits », déclare Edwards. L’ampleur des compromissions du site Web – qui sont en cours – et la nature publique des escroqueries les distinguent, explique le chercheur.
Les stratagèmes et les façons dont les gens gagnent de l’argent sont complexes, mais chacun des sites Web est détourné de la même manière. Les vulnérabilités ou les faiblesses du backend d’un site Web ou de son système de gestion de contenu sont exploitées par des attaquants qui téléchargent des fichiers PDF malveillants sur le site Web. Ces documents, qu’Edwards appelle des « fichiers PDF empoisonnés », sont conçus pour apparaître dans les moteurs de recherche et promouvoir la « Fortnite skins », générateurs de Robloxde la monnaie du jeu, ou des flux bon marché de Barbie, Oppenheimer, et d’autres films populaires. Les fichiers sont remplis de mots que les gens peuvent rechercher sur ces sujets.
Lorsque quelqu’un clique sur les liens dans les fichiers PDF empoisonnés, il peut être poussé sur plusieurs sites Web, ce qui le dirige finalement vers des pages de destination frauduleuses, explique Edwards, qui a présenté les résultats lors de la conférence sur la sécurité Black Hat à Las Vegas. Il y a « beaucoup de pages de destination qui semblent super ciblées sur les enfants », dit-il.
Par exemple, si vous cliquez sur le lien dans un PDF annonçant des pièces gratuites pour un jeu en ligne, vous êtes dirigé vers un site Web où il vous demande votre nom d’utilisateur et votre système d’exploitation dans le jeu, avant de vous demander combien de pièces vous souhaitez gratuitement. Une fenêtre contextuelle apparaît indiquant « Dernière étape ! » Cette « page de casier » affirme que les pièces de jeu gratuites seront déverrouillées si vous vous inscrivez à un autre service, entrez des informations personnelles ou téléchargez une application. « Je l’ai testé des centaines de fois », déclare Edwards. Il n’a jamais reçu de récompense. Lorsque les gens sont guidés à travers ce labyrinthe de pages et finissent par télécharger une application, saisir des informations personnelles ou un certain nombre d’actions requises, ceux qui sont à l’origine des escroqueries peuvent gagner de l’argent.
Ces types d’escroqueries existent depuis un certain temps, selon les chercheurs sur la fraude publicitaire. Mais ceux-ci se démarquent, car ils ont tous des liens vers la société de publicité CPABuild et les membres qui travaillent pour son réseau, dit Edwards. Tous les sites Web compromis sur lesquels des fichiers PDF ont été téléchargés appellent des serveurs de commande et de contrôle appartenant à CPABuild, explique Edwards. « Ils poussent des campagnes publicitaires dans l’infrastructure de quelqu’un d’autre », dit-il. Googler pour un fichier lié aux fichiers PDF fait apparaître des pages de résultats de sites Web compromis.
Le site Web de CPABuild, qui répertorie son registre légal au Nevada, se décrit avant tout comme un « réseau de verrouillage de contenu ». L’entreprise, qui existe depuis 2016, héberge des tâches de ses clients, comme donner aux gens la chance de gagner de l’argent en soumettant leur adresse e-mail et leur code postal. Ensuite, les utilisateurs de CPABuild, souvent appelés affiliés, essaient d’amener les gens à compléter ces offres. Ils le font souvent via des liens de spam vers des commentaires YouTube ou en créant le genre de pages contextuelles de «casier» vers la fin de la chaîne de clics PDF empoisonnée. Ce processus axé sur les résultats est connu sous le nom de coût par action (CPA) par les annonceurs et les commerçants.
WIRED a contacté plusieurs adresses e-mail répertoriées sur le site Web de CPABuild, ainsi que l’envoi de questions via un formulaire de contact, mais nous n’avons reçu aucune réponse. Le site Web de la société ne nomme aucune personne derrière CPABuild et est clairsemée sur les détails généraux. Le site Web affirme qu’il a mis en place des contrôles de fraude « quotidiens » pour attraper les mauvais acteurs abusant de sa plate-forme, et son conditions d’utilisation interdire à ceux qui l’utilisent d’être impliqués dans des fraudes et de partager plusieurs types de contenu.
Le site Web affirme avoir versé plus de 40 millions de dollars aux éditeurs et propose des milliers de modèles et de pages de destination. Dans CPABuild, il existe différents niveaux d’utilisateurs. La structure d’affiliation du site Web est affichée dans une image sur sa page d’accueil. Les membres peuvent être classés en gestionnaires, diables, démons, sorciers, maîtres et chevaliers. Dans une vidéo mise en ligne par un membre de CPABuild le 11 août, on peut voir un compte administrateur partager un message avec des utilisateurs indiquant que l’entreprise a pris des mesures pour empêcher que la plateforme ne soit utilisée à des fins frauduleuses. « Nous recevons toujours des informations selon lesquelles les éditeurs de CPABuild font la promotion d’offres d’une manière qui enfreint nos conditions d’utilisation », indique un message affiché à l’écran. Les recherches d’Edwards montrent, cependant, que quels que soient les efforts déployés par CPABuild, ils n’ont pas réussi à empêcher ses utilisateurs de se livrer à une fraude généralisée.
« La fraude au CPA, qui inclut le coût par installation d’application, est très courante », déclare Augustin Fou, un enquêteur indépendant sur la cybersécurité et la fraude publicitaire, qui a examiné un résumé des conclusions d’Edwards. « Les spécialistes comme ceux identifiés dans la recherche se taillent une niche où ils deviennent le leader de la catégorie dans un type particulier de fraude », a déclaré Fou. « Les clients viennent chez eux pour cette spécialité. »
Des dizaines de sites Web sont actuellement touchés par les fichiers PDF. Cette semaine, le département des services financiers de l’État de New York a supprimé les fichiers PDF téléchargés après avoir été contacté par WIRED. Ciara Marangas, porte-parole du département, affirme que le problème a été identifié pour la première fois en 2022 et qu’après un examen et des étapes supplémentaires, les fichiers ont été supprimés.
