Google alerte ses utilisateurs sur le fait que des cybercriminels ont réussi à berner l'algorithme de son moteur de recherche avec pour objectif de cibler le plus grand nombre de victimes possible.
Ainsi, dans les résultats de recherche de Google, on voit pulluler les sites web malveillants qui mettent en avant des outils de protection VPN gratuits, un service particulièrement tendance depuis quelques années...
Les sites en question proposent ainsi souvent LetsVPN, un VPN très populaire, mais dans ce cas précis, le VPN est en réalité une copie de l'application avec en prime du code malicieux intégré et un malware : Playfulghost.
Une fois installé sur la machine cible, le malware va prendre le contrôle total du PC. Il exploite un module de prise de contrôle identique à Gh0st RAT, un Remote Access Terminal bien connu qui permet la prise de contrôle à distance depuis 2008.
Le malware peut ouvrir des fichiers, en créer, réaliser des captures d'écran et surveiller tout ce qui se passe sur le PC jusqu'à enregistrer les frappes pour récupérer les mots de passe, ou extraire des données sensibles.
Ce type de malware n'est pas nouveau, mais son efficacité est ici dopée par l'empoisonnement SEO, une stratégie de plus en plus exploitée par les cybercriminels pour faire passer des fichiers vérolés pour des fichiers sains et clean simplement en apparaissant en masse et en top des résultats de recherche des moteurs les plus populaires.
