Netcrook Logo
👤 CRYSTALPROXY
🗓️ 23 Mar 2026  

Sabotage des moteurs de recherche : comment de fausses applications diffusent des outils de cyber-espionnage

Une campagne furtive détourne les résultats de recherche pour propager des malwares d’accès à distance sophistiqués déguisés en logiciels populaires.

Imaginez rechercher votre lecteur multimédia ou suite bureautique préféré, cliquer sur le premier résultat, et inviter sans le savoir un cybercriminel dans votre ordinateur. C’est la sinistre réalité d’une nouvelle campagne de « SEO poisoning » récemment découverte, où des attaquants ont exploité la confiance que nous accordons aux moteurs de recherche pour diffuser discrètement AsyncRAT - un puissant cheval de Troie d’accès à distance - en se faisant passer pour plus de deux douzaines d’applications populaires.

En bref

  • Active depuis au moins octobre 2025, ciblant des utilisateurs dans le monde entier
  • Plus de 25 applications populaires usurpées, dont VLC, OBS Studio et LibreOffice
  • Les attaquants utilisent des techniques de référencement pour placer de faux sites de téléchargement en tête des résultats de recherche
  • Les téléchargements malveillants combinent des logiciels légitimes avec des malwares cachés, dont AsyncRAT et un crypto clipper
  • L’infrastructure de la campagne évolue en permanence, utilisant des URL tokenisées pour échapper à la détection

Au cœur de l’attaque : quand les résultats de recherche deviennent mortels

L’opération, découverte par les enquêteurs de FOX-IT et NCC Group, est un véritable cas d’école de la cyber-duplication moderne. Depuis la fin 2025, un acteur malveillant inconnu a discrètement perfectionné un réseau de faux portails de téléchargement imitant des marques logicielles de confiance. Ces sites ne se contentent pas d’être convaincants : ils sont conçus pour grimper dans les classements grâce à des techniques SEO avancées : balises multilingues, fausses évaluations cinq étoiles, et même des vérifications Bing et Yandex pour attirer un public mondial.

Le piège se referme lorsqu’un utilisateur recherche un logiciel comme « télécharger VLC » et clique sur un résultat apparemment légitime. Le site fournit alors un fichier ZIP contenant un véritable installateur - ainsi qu’une DLL malveillante. Lorsque l’installateur s’exécute, Windows charge discrètement la DLL malveillante, lançant l’application légitime pour ne pas éveiller les soupçons tout en libérant simultanément une charge utile cachée.

Cette charge utile déclenche une attaque en plusieurs étapes : d’abord, elle installe ScreenConnect, un outil de gestion à distance légitime, mais préconfiguré pour un accès silencieux et persistant de l’attaquant. Ensuite, elle déploie et injecte AsyncRAT, un cheval de Troie d’accès à distance doté d’un système de plugins modulaires. Cette version d’AsyncRAT est enrichie de fonctionnalités supplémentaires, comme un crypto clipper et une logique de détection régionale pour éviter certains pays.

Pour garder une longueur d’avance sur les défenseurs, les attaquants utilisent des URL de livraison dynamiques générées par un JavaScript personnalisé, rendant chaque lien malveillant unique et difficile à bloquer. L’infrastructure est constamment mise à jour, avec de nouveaux domaines et tactiques de livraison apparaissant dès que les anciens sont exposés.

Pourquoi c’est important : confiance, technologie et facteur humain

Cette campagne n’exploite pas des failles logicielles - elle exploite la confiance humaine dans les résultats de recherche et les marques familières. Pour les organisations comme pour les particuliers, l’avertissement est clair : même les téléchargements les plus anodins peuvent dissimuler des menaces sophistiquées. Les équipes de sécurité sont invitées à surveiller toute activité suspecte liée à ScreenConnect, au chargement inattendu de DLL, et aux connexions vers des domaines suspects. Mais surtout, la vigilance des utilisateurs est essentielle : vérifiez toujours la source de vos téléchargements et méfiez-vous des messages inattendus lors de l’installation de logiciels.

La bataille pour des téléchargements sûrs ne se joue plus seulement sur les sites des éditeurs - elle se livre désormais dans les résultats de recherche que nous utilisons chaque jour.

WIKICROOK

  • SEO Poisoning : Le SEO poisoning consiste à manipuler les résultats de recherche pour promouvoir des sites malveillants, trompant les utilisateurs afin qu’ils visitent des pages dangereuses ou frauduleuses.
  • DLL Sideloading : Le DLL sideloading consiste à tromper des programmes de confiance pour qu’ils chargent des fichiers d’assistance malveillants (DLL) à la place des fichiers légitimes, permettant des attaques cachées.
  • AsyncRAT : AsyncRAT est un cheval de Troie d’accès à distance qui permet aux attaquants de contrôler des ordinateurs infectés, de voler des données et d’espionner les utilisateurs à leur insu.
  • ScreenConnect : ScreenConnect est un outil de bureau à distance pour le support informatique, permettant un accès distant sécurisé mais parfois détourné par des pirates pour des accès non autorisés.
  • Crypto Clipper : Les crypto clippers sont des malwares qui remplacent les adresses de portefeuilles de cryptomonnaies copiées, trompant les utilisateurs pour qu’ils envoient des fonds aux attaquants au lieu des destinataires prévus.
SEO Poisoning AsyncRAT Cyber Espionage
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news