Le « malvertising », contraction de « malicious » et « advertising », désigne des publicités en ligne utilisées comme vecteurs d’infection. Derrière ces contenus sponsorisés sur les réseaux sociaux sont dissimulés des logiciels malveillants capables de dérober vos données sensibles. Explications.
De plus en plus sophistiquées, les campagnes de malvertising se multiplient sur les réseaux sociaux, en particulier sur Facebook, et ciblent les internautes friands de nouveautés technologiques. Les cybercriminels y voient une occasion en or : profiter de l’engouement pour les générateurs d’images par IA pour piéger les utilisateurs curieux. En ligne de mire ? Les portefeuilles de cryptomonnaies, les informations bancaires… et votre identité numérique.
Fausse pub, vrai piège
Les générateurs d'images par intelligence artificielle connaissent un succès phénoménal. Cette popularité attire aussi les cybercriminels, qui exploitent notre attrait pour ces outils innovants. La dernière campagne de « malvertising » en date vise actuellement les utilisateurs de Facebook, en imitant des services IA légitimes comme Kling AI.
Cette arnaque commence par des publicités sponsorisées sur Facebook qui promettent un générateur d'images IA gratuit. Les chercheurs ont identifié environ 70 publicités frauduleuses redirigeant vers des sites contrefaits, copies des plateformes officielles avec la même interface.
L'utilisateur croit tester un nouveau service : il télécharge une image, saisit une description, clique sur « Générer »... et récupère ce qu'il pense être son résultat. Sauf qu'au lieu d'un fichier image, c'est un exécutable malveillant qui s'installe sur son ordinateur. Les cybercriminels masquent l'extension « .exe » derrière le faux fichier « .jpg », exploitant le raccourcissement des noms de fichiers dans Windows.
Un malware aux multiples visages
Une fois installé, ce programme révèle sa nature malveillante. Il s'agit d'un cheval de Troie couplé à un « stealer », un logiciel espion spécialisé dans le vol de données. Ce malware déploie PureHVNC, un outil d'accès à distance qui permet aux pirates de contrôler l'ordinateur infecté.
Le programme surveille les navigateurs Web pour capturer identifiants, mots de passe sauvegardés et cookies de session. Plus inquiétant, il cible spécifiquement plus de 50 extensions de portefeuilles de cryptomonnaies comme MetaMask, Phantom, Trust Wallet ou Binance Wallet.
Le malware intègre un module d'espionnage qui analyse les fenêtres actives de l'ordinateur. Il déclenche une capture d'écran dès qu'il détecte des mots-clés liés aux services financiers comme PayPal, Coinbase, Revolut ou Western Union. Cette surveillance permet aux pirates de récupérer des codes bancaires ou les détails de transactions.
La réponse des plateformes face au défi
Face à cette menace croissante, les plateformes de réseaux sociaux renforcent leurs dispositifs de sécurité. Meta, par exemple, a établi des Community Standards strictes contre les fraudes et arnaques et déploie un système de révision publicitaire qui s'appuie principalement sur des outils automatisés pour vérifier les annonces avant publication.
La plateforme a développé un centre de sécurité dédié à la prévention des arnaques qui présente les techniques les plus courantes utilisées par les fraudeurs. Meta utilise également des techniques d'apprentissage automatique pour identifier les contenus et comptes violant ses règles, et exige désormais que tous les nouveaux comptes publicitaires vérifient leur numéro de téléphone. La société propose aussi un hub anti-arnaque et des formations spécialisées pour les entreprises afin de les protéger contre ces menaces. Meta a supprimé plus de deux millions de comptes associés à des centres d'arnaques cette année.
Comment se protéger efficacement ?
Face à cette menace, quelques réflexes simples peuvent limiter les risques.
1) En premier lieu, en cas de doute sur une publicité en ligne qui vous incite à cliquer sur un lien, copiez-collez le lien sur la barre de recherche de cybersecurite.orange.fr, vous bénéficierez d’une vérification gratuite en temps réel pour attester de la fiabilité du lien en question.
2) Gardez en tête que les services IA légitimes comme Midjourney ou Dall-E ont leurs propres sites officiels. Si le lien reçu ne correspond pas exactement au site officiel, c’est un piège.
3) Sachez que vous pouvez activer l'affichage des extensions de fichiers dans Windows pour repérer un fichier « .exe » déguisé en image. Dans l'Explorateur Windows, allez dans « Affichage » puis cochez « Extensions de noms de fichiers ». Si l’image en question se termine par .exe, c’est un fichier (exécutable), et donc un piège.
4) Optez pour l'option Orange Cybersecure qui protège à la fois vos appareils et vos communications.
5) Sécurisez vos portefeuilles crypto et comptes bancaires en activant l'authentification à deux facteurs et en vérifiant régulièrement vos connexions actives. Restez vigilant face à la fausse urgence créée par les arnaqueurs.
Que faire en cas d'infection ?
Si vous pensez avoir téléchargé ce type de malware, agissez rapidement. Déconnectez votre ordinateur d'Internet, puis lancez une analyse complète avec votre antivirus. Changez tous vos mots de passe depuis un autre appareil non infecté et vérifiez vos comptes bancaires pour détecter toute activité suspecte.
Dans notre monde numérique, les cybercriminels font preuve d'une créativité sans limite. Cette campagne exploitant l'engouement pour l'IA n’est qu’un avant-goût des arnaques à venir. Notre vigilance et quelques bonnes pratiques de sécurité restent nos meilleures défenses dans ce contexte de menaces croissantes.