Fake Sites Mimicking Open-Source Tools Rank High on Google to Deliver Malware via TDS

1 minute de lecture

Mis à jour : June 04, 2026

Campagne de malwares par usurpation de sites open-source via SEO

Une campagne de grande ampleur détourne des outils open-source populaires (Ghidra, dnSpy, SpiderFoot) en créant des sites miroirs optimisés pour le référencement (SEO). Ces sites se classent en tête des résultats Google, supplantant souvent les portails officiels pour inciter les utilisateurs à télécharger des logiciels malveillants.

Points clés :

Technique de détournement : Les sites utilisent une couche JavaScript hébergée sur CloudFront qui intercepte le clic de téléchargement.
Système de redirection (TDS) : Le trafic est filtré par un système robuste (TDS) qui bloque les bots, les outils d’analyse et les VPN pour ne cibler que les utilisateurs réels.
Évasion : Des tentatives répétées depuis une même adresse IP déclenchent le téléchargement de logiciels légitimes (ex: navigateur Opera), rendant la détection plus difficile pour les chercheurs en sécurité.
Distribution : Le pipeline est utilisé pour le “Malware-as-a-Service” (MaaS), propageant principalement SessionGate (loader), Remus Stealer (vol d’identifiants/cryptomonnaies) et AnimateClipper (détournement de transactions crypto).

Vulnérabilités :

Cette attaque ne repose pas sur une faille logicielle spécifique (CVE), mais sur une vulnérabilité humaine liée au détournement de confiance (Social Engineering) et à l’exploitation de l’algorithme de classement des moteurs de recherche (SEO Poisoning).

Recommandations :

Vérification des sources : Téléchargez exclusivement les outils depuis les dépôts officiels (GitHub, sites web de confiance) et vérifiez les URLs manuellement.
Méfiance face au SEO : Ne considérez pas qu’un résultat en première position sur un moteur de recherche est nécessairement le lien légitime.
Analyse post-clic : Bien que l’URL affichée au survol semble correcte, le comportement du script de téléchargement peut être altéré. Utilisez des environnements isolés (sandboxes) pour tester de nouveaux exécutables.
Protection des actifs : Les utilisateurs manipulant des portefeuilles de cryptomonnaies doivent rester vigilants face aux outils d’automatisation qui pourraient intercepter le presse-papier.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Fake Sites Mimicking Open-Source Tools Rank High on Google to Deliver Malware via TDS

Campagne de malwares par usurpation de sites open-source via SEO

Partager sur

Vous pourriez aimer

WhatsApp, Slack Notifications Could Hijack Google Gemini on Android

Exploitation par injection de prompt via les notifications Android sur Google Gemini

U.S. sanctions Nobitex crypto exchange used by Iranian ransomware actors

Sanctions américaines contre les plateformes crypto iraniennes impliquées dans le ransomware

UN food agency discloses breach affecting 600,000 Gaza households

Cyberattaque contre le Programme Alimentaire Mondial à Gaza

ThreatsDay Bulletin: AI Agents Gone Wrong, Sketchy C2 Tools, ClickFix Tricks, JS Backdoors & 20+ New Stories

État des menaces : prolifération des tactiques d’ingénierie sociale et automatisation des attaques