Des pages de renvoi malveillantes ont infecté des routeurs et dirigé des internautes vers des sites de phishing se faisant passer pour des sites bancaires et Netflix.
Fin novembre, les Laboratoires de menaces d’Avast ont découvert des cyberattaques exploitant les routeurs d’internautes brésiliens pour les rediriger vers des pages de phishing, ressemblant aux sites Web que les victimes voulaient visiter. Ici, des sites bancaires, des sites d'informations et Netflix.
Les sites en questions sont :
- bradesco.com.br
- santandernetibe.com.br
- pagseguro.com.br
- terra.com.br
- uol.com.br
- Netflix.com
Les sites de banque en ligne ou encore Netflix sont souvent ciblés par les cybercriminels car ils leur permettent de voler facilement de précieuses informations d’identification.
Ce type d’attaque de routeur se lance généralement lorsque l’utilisateur visite un site Web compromis par de la publicité malveillante (malvertising), dont le serveur est alimenté à partir de réseaux publicitaires tiers. Ici, les internautes étaient automatiquement redirigés vers l’une des deux pages de renvoi du kit d’exploitation de routeurs, qui lançait en arrière-plan l’attaque sur le routeur, sans requérir aucune interaction avec l’utilisateur. Le routeur redirigeait ensuite celui-ci des vraies pages commerciales vers des sites de phishing ressemblant à des sites authentiques.
L’Agent Web d’Avast a bloqué deux sites Web malveillants ayant infecté près de 5 500 routeurs le 25 novembre, et a bloqué plus de 1 000 URL le lendemain.
L’équipe a visité la version de phishing du site de Banco Bradesco, vers laquelle les victimes ont été redirigées en tentant de visiter le site Web de la banque. Dans la barre d’adresse, on peut voir que le site n’est pas sécurisé car il ne commence pas par « HTTPS » et n’affiche pas le symbole du cadenas. Un message d'erreur montre également que le site n'est pas sécurisé. La plupart des liens sur le site ne fonctionnent pas.
En revanche, la page de connexion fonctionne bien, c'est-à-dire que la victime peut se connecter à son compte en saisissant ses informations d'identification en haut de la page.
Comme le site de phishing n’a aucun moyen de valider ces informations de connexion, il fait donc automatiquement semblant de connecter l'utilisateur à son compte. Le faux site capture ainsi les noms d’utilisateur et leurs mots de passe, puis affiche un message contextuel informant que le système est temporairement indisponible et qu’il faut réessayer dans quelques minutes. Cette campagne n'est plus active.
Pour éviter une attaque de détournement de DNS :
- Mettez à jour les identifiants d’administrateur de votre routeur avec un mot de passe fort.
- Mettez à jour tous les micrologiciels de votre routeur vers les versions les plus récentes. Vous pouvez généralement les trouver sur le site Web du fabricant du routeur.
- Modifiez vos identifiants de connexion, surtout pour vos services bancaires en ligne et votre routeur, et utilisez des mots de passe forts.
- Assurez-vous que votre banque en ligne dispose d'un certificat valide, en recherchant le cadenas dans la barre d'adresse URL de votre navigateur.
L’Agent Web d’Avast, inclus dans les versions gratuite et premium d’Avast Antivirus protège de façon proactive les utilisateurs contre les attaques de type CSRF (cross-site request forgery). L'inspecteur Wi-Fi d’Avast, aussi présent dans Avast Antivirus Gratuit et dans la version premium des logiciels de sécurité grand public, peut également évaluer la force du mot de passe de votre routeur, tester le réseau pour détecter les piratages de DNS et afficher une liste des domaines piratés.
Rendez-vous sur Decoded Blog pour en savoir plus sur l’étude des Laboratoires de menaces d’Avast sur le kit d'exploitation GhostDNS.