🧠 SEO Poisoning : Quand Google vous offre un malware en première position

…et que vous cliquez sans lire l’URL. Bim ! Tu découvres le SEO poisoning

Le 7 juillet 2025, les chercheurs en cybersécurité d’Arctic Wolf ont tiré la sonnette d’alarme : plus de 8 500 utilisateurs de PME sont tombés dans un piège SEO parfaitement rodé, distribuant des malwares déguisés en outils professionnels, parfois affublés d’un vernis d’intelligence artificielle pour faire bonne mesure. Et tout ça, via… Google. Oui, ce bon vieux Google.

On appelle ça le SEO Poisoning, ou “empoisonnement des résultats de recherche”. Et les cybercriminels qui l’utilisent ne vous veulent pas du bien.

🔍 Qu’est-ce que le SEO poisoning (et pourquoi ça marche) ?

C’est simple. Trop simple. Un groupe malveillant crée des faux sites web qui ressemblent aux vrais (comme ceux de PuTTY, WinSCP, ou un outil AI à la mode), puis les propulse en haut des résultats de recherche sur Google ou Bing grâce à de l’optimisation SEO bien ficelée. Jusque-là, rien que du bon marketing… sauf que le bouton « Download » ne mène pas à un outil utile, mais à un malware.

Et là, vous cliquez. Parce que vous êtes pressé. Parce que vous n’avez pas le lien officiel sous la main. Parce que le site ressemble drôlement à celui que vous avez utilisé l’an dernier. Et voilà : vous avez téléchargé Oyster.

🧪 Le malware en embuscade : Oyster Loader (a.k.a. Broomstick / CleanUpLoader)

L’engin malveillant distribué ici n’est pas un petit joueur. Oyster est un loader modulaire, ce qui veut dire qu’il ne fait pas grand-chose tout seul… mais qu’il peut ouvrir la voie à des charges utiles bien plus dangereuses, comme :

  • des infostealers (adieu mots de passe),
  • des ransomwares (adieu fichiers),
  • des RATs (bonjour webcam),
  • et tout ce qu’un bon cybercriminel peut vouloir injecter à distance.

Ce loader est connu depuis 2023, mais continue d’évoluer. Il est furtifpersistant, et surtout très bien packagé pour tromper les antivirus classiques. Il cible surtout les environnements Windows, donc les postes de travail en entreprise, et plus particulièrement dans les PME mal protégées.

🎯 Pourquoi les PME sont-elles la cible idéale ?

Parce que dans une PME :

  • Il n’y a pas toujours de RSSI, parfois même pas d’IT.
  • Les utilisateurs téléchargent ce dont ils ont besoin sans supervision.
  • Les outils de sécurité sont souvent basiques voire absents.
  • Et les équipes n’ont pas le temps (ou la culture) pour vérifier chaque lien.

C’est donc le terrain de jeu rêvé pour une campagne de SEO malveillant : tout le monde utilise Google, personne ne vérifie l’URL, et beaucoup installent des outils techniques sans surveillance.

⚠️ La recette de l’attaque (et pourquoi elle est brillante)

  1. Créer des clones parfaits de sites de téléchargement connus.
  2. Ajouter des mots-clés magiques comme “AI”, “free”, “official download”.
  3. Booster le référencement SEO avec du netlinking, des domaines expirés, et un bon peu de sorcellerie.
  4. Attendre que les utilisateurs cliquent sur le lien piégé. (Spoiler : ça ne prend pas longtemps.)
  5. Infecter les machines avec Oyster Loader.
  6. Rire en lançant d’autres charges utiles à distance.

🧯 Comment éviter d’en faire partie ?

Voici les bonnes pratiques à appliquer immédiatement (si ce n’est pas déjà fait) :

  • Téléchargez toujours vos outils depuis les sites officiels. Pas ceux « très bien référencés », mais ceux dont vous avez vérifié l’URL (par exemple putty.org, pas putty-download-ai.cloud).
  • Bloquez les installations d’exécutables non signés sur les postes utilisateurs.
  • Déployez une solution EDR (Endpoint Detection & Response), même dans les PME. C’est moins cher qu’un incident de sécurité.
  • Filtrez et loggez les requêtes DNS sortantes. Beaucoup de loaders comme Oyster communiquent avec leur serveur C2 via DNS.
  • Sensibilisez vos équipes. Faites-leur comprendre que le top 1 sur Google peut être piégé, surtout quand l’outil est “gratuit et optimisé IA”.

🗨️ Et en conclusion…

Le référencement naturel, c’est magique.
Vous tapez « télécharger WinSCP IA optimisé », vous cliquez…
…et vous installez une porte d’entrée numérique avec tapis de bienvenue et Wi-Fi gratuit pour attaquants.
Tu comprends maintenant, peut-être, pourquoi on t’interdit d’installer certaines choses (daubes) sur ton PC professionnel ?

Les cybercriminels ont compris que Google est plus puissant que votre firewall, et que l’utilisateur moyen ne se méfie jamais d’un site bien fait. Résultat : plus de 8 500 infections dans la nature. Et la campagne continue.

Parce qu’au fond, entre un antivirus paresseux, une culture sécu absente, et une recherche Google trop rapide… il ne manquait qu’un loader bien positionné pour que tout parte en vrille.

🧠 SEO Poisoning : Quand Google vous offre un malware en première position
Partager cet article : Twitter LinkedIn WhatsApp

🖋️ Publié sur SecuSlice.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut