Malvertising

Selon l’analyse référencée par Malasada Tech, « Convert Master » est un browser hijacker se faisant passer pour un outil de conversion de documents et distribué via des publicités Google malveillantes. Le malware récupère dynamiquement sa configuration depuis une infrastructure C2 (conf.conclie.com/ConMasD) afin de cibler des navigateurs spécifiques et d’injecter des URL de moteurs de recherche. Il modifie les paramètres du navigateur pour ajouter de faux moteurs, notamment Mapilor et Retro Revive, et met en place une chaîne de redirection: requête utilisateur → Mapilor (wesd.mapilor.com) → Retro Revive (searchretrorevive.com) → Yahoo Search, permettant un suivi des requêtes et une potentielle exfiltration de données. 🧭 ...

Selon GBHackers, des chercheurs en cybersécurité ont mis au jour une campagne où des acteurs malveillants utilisent des publicités frauduleuses et l’empoisonnement SEO pour distribuer de faux installateurs Microsoft Teams contenant le malware backdoor Oyster. Leurre : faux installateurs de Microsoft Teams destinés aux utilisateurs cherchant un téléchargement légitime via des moteurs de recherche. Méthodes : publicités sponsorisées et SEO poisoning qui positionnent des liens frauduleux sur des requêtes comme « teams download ». Charge utile : backdoor Oyster, permettant aux attaquants d’obtenir un accès à distance. Des chercheurs en cybersécurité ont identifié une campagne sophistiquée exploitant des publicités malveillantes et un empoisonnement SEO pour distribuer de faux installateurs Microsoft Teams contenant le malware de porte dérobée Oyster (alias Broomstick). Les utilisateurs cherchant à télécharger Teams via les moteurs de recherche tombent sur des annonces frauduleuses redirigeant vers des sites usurpant l’apparence des pages officielles, comme teams-install[.]top, qui délivrent un fichier MSTeamsSetup.exe infecté. ...

Selon Arctic Wolf, des chercheurs ont mis au jour « GPUGate », une campagne sophistiquée visant des professionnels IT en Europe de l’Ouest via des publicités Google malveillantes menant à de faux installateurs GitHub Desktop. L’objectif apparent est l’accès initial pour le vol d’identifiants et une possible préparation au déploiement de ransomware, avec des indices pointant vers des acteurs russophones. La charge utile (≈128 Mo) se distingue par une évasion basée sur GPU : un mécanisme de déchiffrement conditionnel (« GPU-gated ») n’exécute le code que sur des machines dotées d’un GPU réel dont le nom de périphérique dépasse 10 caractères, contournant efficacement VM et sandboxes. Le binaire embarque plus de 100 exécutables factices pour brouiller l’analyse. ...

Selon BleepingComputer, des acteurs de menace utilisent plusieurs sites web promus par des publicités Google pour piéger les internautes avec une application d’édition PDF convaincante qui sert de vecteur à un malware voleur d’informations nommé TamperedChef. Le stratagème repose sur des publicités Google menant à plusieurs sites qui proposent un supposé éditeur PDF. L’application, présentée de manière convaincante, sert en réalité à livrer un logiciel malveillant. L’impact principal mentionné est le vol d’informations via le malware TamperedChef, classé comme info-stealer, ce qui indique un risque d’exfiltration de données sensibles des victimes. ...

Selon CrowdStrike, entre juin et août 2025, la plateforme Falcon a empêché une campagne de malware visant plus de 300 environnements clients, opérée par l’acteur eCrime COOKIE SPIDER et déployant SHAMOS, une variante d’Atomic macOS Stealer (AMOS). • Le mode opératoire s’appuie sur du malvertising redirigeant vers de faux sites d’aide macOS (ex. mac-safer[.]com, rescue-mac[.]com) qui incitent les victimes à exécuter une commande d’installation one‑liner 🍎. Cette technique permet de contourner Gatekeeper et d’installer directement un binaire Mach‑O. Des campagnes similaires (Cuckoo Stealer et SHAMOS) avaient déjà exploité cette méthode via des annonces Homebrew entre mai 2024 et janvier 2025. ...

Selon Push (recherche signée par Luke Jennings), une campagne de phishing exploite un tenant Microsoft configuré avec ADFS et de la malvertising pour obtenir des redirections légitimes depuis outlook.office.com vers une page de phishing Microsoft clonée en reverse‑proxy. • Le kit observé est un classique de type Attacker‑in‑the‑Middle (AitM) clonant la page de connexion Microsoft afin d’intercepter la session et contourner la MFA. L’originalité ne vient pas de la page mais de la chaîne de redirections et de l’évasion de détection. ...

Selon GBHackers Security, dans un contexte de menaces complexes, une opération de malware exploite des Google Ads piégées en se faisant passer pour Tesla afin d’induire les consommateurs en erreur avec de prétendues précommandes du robot humanoïde Optimus, non annoncé. Les chercheurs en sécurité ont identifié plusieurs domaines malveillants imitant le site officiel de Tesla, conçus pour tromper les internautes en s’appuyant sur l’historique de la marque en matière d’acceptation de commandes en ligne. ...

Le rapport mensuel de Red Canary sur le renseignement sur les menaces révèle des changements significatifs dans le paysage des menaces, avec un accent particulier sur les nouvelles menaces ciblant les systèmes Windows et macOS. Amber Albatross conserve sa position de menace principale, tandis que CleanUpLoader fait son entrée dans le top 10 par le biais de campagnes de malvertising visant le personnel informatique. Ce malware fonctionne en tant que DLL exécutée via rundll32.exe, établissant une persistance à travers des tâches planifiées qui s’exécutent toutes les 3 minutes. Il est distribué via des domaines typo-squattés imitant des sites de logiciels légitimes. ...

L’article de Cyber Security News rapporte une campagne sophistiquée de SEO poisoning et de malvertising découverte par les chercheurs en sécurité d’Arctic Wolf. Cette campagne, active depuis juin 2025, cible spécifiquement les administrateurs systèmes en utilisant des versions trojanisées de logiciels populaires tels que PuTTY et WinSCP. Les attaquants manipulent les moteurs de recherche pour promouvoir de faux sites de téléchargement imitant les dépôts de logiciels légitimes. Les administrateurs IT, à la recherche de ces outils essentiels, sont redirigés vers des domaines contrôlés par les attaquants via des résultats de recherche empoisonnés et des publicités sponsorisées. ...

Depuis début juin 2025, Arctic Wolf a observé une campagne de malvertising et d’empoisonnement SEO visant à promouvoir des sites web malveillants hébergeant des versions trojanisées d’outils IT légitimes tels que PuTTY et WinSCP. Ces sites frauduleux cherchent à tromper les utilisateurs, souvent des professionnels IT, pour qu’ils téléchargent et exécutent des installateurs trojanisés. Lors de l’exécution, un backdoor connu sous le nom de Oyster/Broomstick est installé. La persistance est assurée par la création d’une tâche planifiée qui s’exécute toutes les trois minutes, lançant une DLL malveillante (twain_96.dll) via rundll32.exe en utilisant l’export DllRegisterServer. ...