Les cybercriminels profitent des actualités sur les coronavirus

Avishay Zawaoznik, Security Research Manager chez Imperva, décrit les types de campagnes de spam conçues pour diffuser de fausses nouvelles et les dangers qu’elles font peser sur notre compréhension du coronavirus

Des niveaux de préoccupation élevés autour du Coronavirus sont actuellement utilisés pour augmenter la popularité en ligne des campagnes de spam conçues pour diffuser de fausses nouvelles et conduire les utilisateurs sans méfiance vers des pharmacies en ligne douteuses.

Compte tenu du niveau d’anxiété qui existe actuellement à l’échelle mondiale autour de la propagation du Coronavirus potentiellement mortel, il n’est peut-être pas surprenant que des spammeurs opportunistes utilisent le terme dans leurs campagnes. En effet, les deux graphiques suivants montrent une corrélation très claire entre la popularité du terme sur Google et son apparition dans le trafic de robots capturé par Imperva au cours de la même période.

Figure 1. Google Trend pour le terme «coronavirus». [Source: https://trends.google.com/trends/explore?date=today%201-m&geo=US&q=coronavirus]Figure 2. Le terme «coronavirus» utilisé par les bots capturés par Imperva

Pour les personnes à la recherche d’informations authentiques sur le coronavirus, cela pollue leurs résultats de recherche en ligne avec des résultats faux et dénués de sens. Non seulement le contenu de ce spam ne fait rien pour aider les gens dans leur quête à se renseigner sur ce risque pour la santé mondiale, mais les opérateurs de robots utilisent la technologie pour exploiter le besoin d’informations médicales du public afin d’obtenir quelques clics supplémentaires vers leur faux pharmacies.

Commenter le spamming en détail

Nous avons identifié deux types différents de campagnes de spam qui s’appuyaient sur le battage médiatique autour du Coronavirus.

Le plus populaire implique le spamming de commentaires – une technique automatique qui utilise des scripts ou des bots pour injecter un contenu spécifique dans les commentaires sur un site, et qui y restera indéfiniment. Une simple recherche sur Google a révélé les exemples suivants de cas où les spammeurs avaient publié des commentaires avec succès.

Figure 3. Exemples de commentaires de spam contenant le terme «coronavirus», trouvés au hasard sur Internet

En y regardant de plus près, vous pouvez voir que parmi la copie sur le virus lui-même, les spammeurs ont inséré des URL pointant vers des entreprises de vente de médicaments douteuses. La question, cependant, est pourquoi?

Il y a deux raisons possibles. Le premier est le clickbait – des campagnes conçues pour inciter des utilisateurs innocents, soucieux du Coronavirus, à cliquer sur leurs liens et – espérons-le – même à commander leurs produits.

La deuxième raison est à des fins de référencement. En tant que terme très recherché au cours des dernières semaines, l’ajout de «Coronavirus» pourrait avoir un effet positif sur le site hébergeant les commentaires indésirables. En le rendant plus visible et mieux classé dans les recherches sur le Web, il pourrait éventuellement générer davantage de prospects vers les sites des spammeurs. Les backlinks des commentaires indésirables bénéficieront également au référencement des sites de médicaments.

Mais quel avantage les spammeurs ont-ils à gagner à publier des commentaires comme ceux-ci? En règle générale, il se présente sous la forme d’une ristourne financière. Des campagnes comme celle-ci sont parfois menées par des tiers – des entreprises qui proposent de «booster le trafic entrant», ou Blackhat SEO. À d’autres occasions, les campagnes peuvent être exécutées dans le cadre d’un programme d’affiliation pour vendre directement des produits tiers ou créer un lien vers un site à partir duquel ils peuvent être achetés. Quoi qu’il en soit, les spammeurs derrière les campagnes prendront généralement un pourcentage des ventes effectuées

Le spam devient sophistiqué

Le deuxième type de campagne que nous avons découvert était beaucoup plus sophistiqué que la technique de «pulvérisation et prière» utilisée dans de nombreuses campagnes de spam. À partir d’un commentaire placé sur un site aléatoire, des utilisateurs sans méfiance ont été redirigés vers un site «neutre» détourné conçu pour ressembler à une ressource d’informations sur le coronavirus – y compris une carte en temps réel (copiée) de la progression du virus – puis sur une ligne en ligne notoire. pharmacie.

Examinons-le plus en détail. Voici un exemple de requête HTTP que nous avons interceptée dans notre système:

Figure 4. Exemple de requête HTTP

Il s’agit d’une demande POST, envoyée à un site aléatoire, et se compose de trois éléments distincts:

Une courte phrase (marquée en vert) qui semble être une requête populaire du moteur de recherche liée au coronavirus, utile pour aider les commentaires de spam à atteindre un rang plus élevé dans les recherches Google liées au Coronavirus. Dans ce cas, c’est «que es coronavirus» (espagnol pour «qu’est-ce qu’un coronavirus»), mais nous avons également vu l’utilisation de «simulation de pandémie de coronavirus», de «wuhan city china wikipedia» et de «précautions contre les infections par coronavirus» parmi de nombreuses autres variantes.
Deux morceaux de texte aléatoire (marqués en bleu), copiés à partir de sites Web existants – et entièrement indépendants -, dont le but est d’aider à faire apparaître le commentaire comme légitime afin qu’il ne soit pas bloqué. Dans cet exemple, une simple recherche sur Google a révélé que le texte aurait pu être extrait d’ici:

Et ici:

L’élément le plus important de la demande, marqué en rouge, est le lien qui, dans cet exemple, pointe vers http: // www.[REDACTED].com /? wuhan-coronavirus-epidemi-singapore.

Alors que www.[REDACTED].com, un magasin d’uniformes au Bangladesh – semble légitime, une recherche rapide sur Shodan révèle qu’il réside sur un serveur très vulnérable.

Mais la chaîne de requête varie d’un commentaire à l’autre. Et, quel que soit le contenu de cette chaîne de requête – même quelque chose d’arbitraire comme www.[REDACTED].com /? le spamming est une perte de temps – ils redirigent toujours vers le même faux site d’informations sur les coronavirus, lorsqu’ils sont utilisés dans le cadre d’un lien complet.

Sur la base des événements que nous avons inspectés dans le passé, nous pouvons raisonnablement supposer que le site uniforme a été compromis, avec un changement malveillant de code ou de configuration utilisé pour rediriger tout point de terminaison inexistant vers le faux site d’informations.

Cependant, il nous a fallu un certain temps pour remarquer que le site – générique mais d’apparence bénigne – «Informations sur le coronavirus» était faux. Après tout, il contenait des liens vers un certain nombre de sites différents offrant des informations médicales, chacun étant également générique mais d’apparence bénigne.

L’élément le plus frappant du site était le lien vers une carte interactive en temps réel – une carte qui, en fait, a été copiée à partir du tableau de bord de l’Université John Hopkins sur les cas mondiaux nCoV-2019 et qui, contrairement à la page principale et à ses liens vers les services médicaux informations, était loin d’être bénigne. Le site «carte interactive» contenait en fait un certain nombre de liens vers l’infâme «Canadian Pharmacy» – ni Canadien, ni pharmacie, mais en fait une opération de spam supposée être liée à des cybercriminels russes.

Rester au top du spam

Le spam est, au mieux, une nuisance. Au pire, il peut être utilisé pour diffuser des messages de phishing, des logiciels malveillants infectieux, etc. Le spam pharmaceutique est particulièrement néfaste – non seulement en termes de volume de spam impliqué, mais également pour les risques posés à la santé publique par les médicaments contrefaits.

Mais, tant que les spammeurs pourront gagner de l’argent en encourageant le trafic ou les ventes sur le site, ils continueront de le faire. Pour semer l’appât ou le référencement dans les commentaires, les spammeurs doivent rester au fait des sujets d’actualité. Et en ce moment, les sujets ne deviennent pas plus chauds que Coronavirus.

Comme toujours, la sensibilisation est essentielle. Assurez-vous que ce que vous lisez correspond à ce que vous pensez, et ne cliquez jamais sur un lien que vous ne reconnaissez pas.

Articles recommandés par l’éditeur