Redirection malveillante à partir de Google

3

J'ai rencontré des redirections malveillantes issues des résultats de recherche Google dans deux ordinateurs portables différents.

Tout en parcourant les résultats de recherche Google sur Chrome, je clique sur l'un des liens vers un site Web de confiance https. Le clic est en quelque sorte accablé et me conduit sur un site malveillant (au mieux, il s'agit clairement d'un faux sondage frauduleux / phishing). Si je ferme la page malveillante et que je clique à nouveau sur le même lien, je suis redirigé vers la page appropriée. Cela se produit au hasard et très peu (environ deux fois par mois), il est donc très difficile de se reproduire à volonté.

  • Aucun d'entre eux ont des addons douteux, ou des logiciels douteux. Aucun détail sur la liste des logiciels installés.
  • Les addons suivants sont installés sur Google Chrome: uBlock, u-Matrix, decentraleyes, httpseverywhere et quelques autres addons (probablement) non pertinents.
  • L'analyse complète de Malwarebytes et Nod32 est propre. Rien de douteux lors de la vérification avec processExplorer ou autoruns (avec la soumission totale du virus activée).
  • Les deux ordinateurs portables ont des flux Internet différents. En fait, ils se trouvent dans des villes différentes. Ils ont coexisté dans le même réseau pendant quelques semaines dans le passé.
  • La configuration DNS semble inchangée (automatique), lorsqu'elle est cochée avec des points ipconfig vers des serveurs appartenant au fournisseur de services Internet
  • Les sites de destination ne semblaient pas avoir le problème, c'étaient des sites de bonne réputation, dernier cas (le seul dont je me souvienne, site), d'une grande entreprise aérospatiale, sans contenu d'annonceur, ou de scripts tiers en dehors de Google Analytics. Le site Web cible ne semble pas avoir même été chargé, je suis directement atterri sur le domaine des logiciels malveillants, sans possibilité de revenir en arrière ni de trace de l'historique de la page d'origine.

Quelle est l'explication la plus probable? Cela signifie-t-il que les deux ordinateurs sont compromis par une sorte de malware adware?

Comment un tel problème pourrait-il être attribué à sa cause?

Est-ce une nouvelle chose commune dont je n'ai pas entendu parler?

darmual
la source
1
Le comportement ressemble à une application malveillante. Si ce problème persiste sur tous les navigateurs, il s'agit bien d'un tiers. Vérifiez vos programmes installés et désinstallez tout ce qui peut sembler superficiel. Si les deux ordinateurs sont compromis, dressez une liste des applications installées sur les deux ordinateurs.
Bennett Yeo
1
Suggérez également d’essayer ESET eset.com/us/home/free-trial ; il a trouvé quelques malwares qui ont échappé à Malwarebytes. Les deux ordinateurs portables sur le même flux Internet? Votre routeur pourrait être compromis. Essayez-les sur une autre connexion ou modifiez les paramètres du serveur DNS du routeur pour qu'ils soient ouverts, comme indiqué ci-dessous. Une fois que vous avez essayé, cliquez sur Éditer et mettez à jour le message original avec ce que vous avez essayé et les résultats. les commentaires sont pour les gens qui aident, vos mises à jour devraient aller dans votre question.
K7AAY

Réponses:

2

J'ai rencontré des redirections malveillantes issues des résultats de recherche Google dans deux ordinateurs portables différents.

Le problème ne vient peut-être pas de vos ordinateurs portables, mais le site Web lui-même a été infecté par un logiciel malveillant.

Vérifiez vos résultats de recherche pour le message "Ce site peut être piraté", tel que celui-ci:

Recherche Google - Message "Ce site peut être piraté"

Certains logiciels malveillants sont intelligents et ne vous redirigent vers le site Web de spam que lorsque vous sortez du moteur de recherche (tel que Google), mais lorsque vous ouvrez la page normalement (lorsque vous y accédez directement), la redirection n'a pas lieu. De cette manière, le propriétaire du site Web ne remarquera pas la présence de logiciels malveillants lors de l'ouverture de ses propres pages.


Voici l'exemple d'un tel malware (voir icon64s.pngfichier). Une fois chargé sur le serveur distant, le moteur de recherche ( isCrawler()fonction) vous redirige vers un site malveillant.


Vous pouvez essayer d'analyser le site Web à l'aide d'un antivirus en ligne (tel que le service Virus Total ou VirusDesk ). Toutefois, si le programme malveillant a des conditions pour être présent uniquement lorsque l'utilisateur vient des moteurs de recherche, aucun des services ne le détectera. À la fin, c'est juste une redirection.

Kenorb
la source
Vient d'ouvrir le site Web à partir des résultats de recherche Google de mon téléphone portable (via LTE pour avoir une adresse IP différente) a été redirigé vers le site Web frauduleux! Apparemment, garde la trace de l'IP et redirige uniquement la première fois (ou après une très longue période). Existe-t-il un moyen de s’assurer que c’est le cas?
Darmual
Vous pouvez essayer de l’analyser à l’aide de Virus Total . Toutefois, si le logiciel malveillant a la condition d’être activé uniquement à partir des moteurs de recherche, je doute que vous puissiez le détecter. À la fin, c'est juste une redirection.
Kenorb