Une stratégie de fraude en ligne sophistiquée exploite désormais la popularité des outils open-source pour piéger les utilisateurs via les moteurs de recherche. Des faux sites parfaitement conçus apparaissent en tête des résultats Google, trompant les internautes à la recherche de logiciels gratuits.
Ces plateformes malveillantes utilisent un système appelé Traffic Distribution System (TDS) pour rediriger les visiteurs vers des malwares performants, menaçant gravement la sécurité informatique des PME et ETI. Au-delà du simple hameçonnage, cette campagne combine une ingénierie sociale précise et une technologie avancée pour contourner les protections classiques. Elle illustre une nouvelle tendance dans la diffusion de logiciels malveillants, qui cible spécifiquement ceux qui cherchent des solutions open-source, renforçant ainsi les risques liés à la cybersécurité pour les entreprises françaises.
Un système de fraude qui exploite le trafic et les résultats Google
Depuis plusieurs mois, des chercheurs en cybersécurité ont observé une opération massive où des faux sites imitent des projets open-source populaires comme Ghidra, dnSpy ou SpiderFoot. Ces sites, bien conçus, intègrent des liens réels pour tromper les utilisateurs au premier coup d’œil. La clé de cette fraude réside dans un script JavaScript hébergé sur CloudFront, qui transforme un simple clic sur un bouton « télécharger » en une ouverture vers un Traffic Distribution System (TDS).
Le TDS intervient comme une porte d’entrée sophistiquée, vérifiant minutieusement chaque visiteur. Il applique un filtrage rigoureux : contrôle du nombre de visites, confirmation du clic, détection des tentatives d’analyse automatisées, et exclusion des connexions via VPN ou centres de données. Ce mécanisme permet de cibler précisément les victimes réelles et d’éviter la détection par les systèmes de sécurité. Par conséquent, de nombreuses PME exposées à cette menace voient ces faux sites remonter en tête des résultats Google lors de recherches légitimes, augmentant ainsi le risque d’infection informatique.
Une diffusion de malwares camouflée dans un parcours utilisateur complexe
Lorsque la victime clique pour télécharger un outil, elle est redirigée à travers plusieurs étapes contrôlées par le TDS. Ces étapes filtrent les utilisateurs et livrent, selon le profil, soit des logiciels inoffensifs comme des navigateurs, soit des logiciels malveillants dangereux. Cette technique rend l’analyse et la détection particulièrement ardues, car l’infrastructure adapte la charge utile pour chaque victime potentielle.
Parmi les malwares distribués par ce stratagème, on retrouve des familles comme Remus Stealer, capable de dérober des données sensibles dans plus de vingt navigateurs et applications, ainsi que SessionGate, un chargeur obfusqué multi-étapes destiné à livrer des applications potentiellement indésirables. AnimateClipper, un malware spécialisé dans le vol de cryptomonnaies via la modification des adresses copiées dans le presse-papiers, complète cette série infectieuse. Ces menaces complexes impactent directement la protection des informations critiques, dont les données financières et d’authentification.
Pour les décideurs en PME et ETI françaises, la priorité est d’intégrer des solutions de vigilance renforcée sur les canaux de téléchargement et d’analyser les sources avant toute installation. Les campagnes comme celle-ci rappellent que même des recherches sur des ressources open-source réputées peuvent exposer à une fraude en ligne sophistiquée et latente.
