De faux sites Web faisaient partie d’un stratagème de cybercriminels visant à détourner le trafic d’entreprises comme Netflix et des grandes banques internationales.
Depuis le début de l’année au Brésil, Avast a bloqué plus de 4,6 millions de tentatives de renvoi des utilisateurs vers des sites frauduleux, dans le cadre d’un stratagème visant à détourner le trafic de sites Web d’entreprises incluant Netflix et de grandes banques.
Les attaques, nommées CSRF (Cross-site request forgery, Falsification de requête intersite), sont utilisées par les cybercriminels pour entrer des commandes sans que les utilisateurs en aient conscience. Dans ce cas, l’attaque consiste à modifier silencieusement les paramètres DNS (Domain Name System) des utilisateurs pour rediriger ces derniers d’une URL authentique vers un site Web frauduleux. Ils sont alors victimes d’attaques de phishing et d’extraction de données, ou d’attaques via des publicités malveillantes.
Vous pouvez en savoir plus sur l’aspect technique de ces attaques et sur les recherches du Laboratoire des menaces d’Avast qui leur sont consacrées sur le nouveau blog technique Decoded.
Le piratage DNS conduit à des attaques de phishing
Une attaque de routeur CSRF est généralement lancée lorsque l’utilisateur utilise un site Web compromis par de la publicité malveillante (malvertising), dont le serveur est alimenté à partir de réseaux publicitaires tiers. Avast observe fréquemment des infections par malvertising sur des sites Web locaux brésiliens qui hébergent des contenus pour adultes, des films illégaux ou des contenus sportifs. Juste en visitant un site compromis, la victime est redirigée vers une page frauduleuse depuis laquelle son routeur est attaqué automatiquement, sans aucune interaction avec l’utilisateur. Le malware n’a plus qu’à deviner les mots de passe du routeur qui sont souvent faibles, comme le montre une nouvelle recherche d’Avast. Dans certains cas, le routeur est reconfiguré pour utiliser des serveurs DNS véreux, qui redirigent les victimes vers des pages de phishing ayant toutes les apparences d’un site de banque en ligne réel. Très récemment, Netflix est devenu le domaine préféré des pirates de DNS.
Les données Avast montrent que les sites Web appartenant aux organisations suivantes, actives au Brésil, sont le plus souvent piratés :
- Santander (24 %)
- Bradesco (19 %)
- Banco do Brasil (13 %)
- Itau BBA (13 %)
- Netflix (11 %)
- Caixa (10 %)
- Serasa Experian (10 %)
« Les institutions affectées sont ciblées car elles sont les plus populaires dans leur pays. Le problème est qu’elles ne peuvent pratiquement rien faire pour éviter d’être visées, à part alerter leurs clients, car les sites de phishing sont extérieurs à leurs domaines, » reconnait David Jursa, un analyste de l’équipe de veille contre les menaces d’Avast.
Attaques de publicités malveillantes et d’extraction de données
Outre le phishing, les cybercriminels utilisent le piratage DNS pour remplacer des publicités légales par des publicités malveillantes. Par exemple, ils peuvent pirater une plateforme publicitaire, comme Outbrain, qui peut alors être intégrée à des sites Web présentant des offres publicitaires à leurs visiteurs. Si l’adresse du serveur de la plateforme publicitaire est piratée sur le routeur de l’utilisateur, celui-ci aura sous les yeux des publicités malveillantes qui l’inciteront, par exemple, à télécharger encore plus de malwares ou le dirigeront vers un site Web non sollicité proposant du contenu illégal.
Les chercheurs d’Avast experts en menaces ont aussi observé des cybercriminels utilisant le piratage DNS pour injecter des scripts de cryptomining dans les navigateurs des utilisateurs. Leurs machines commencent alors à miner abusivement des cryptomonnaies, ce qui peut conduire à d’énormes factures d’énergie et une diminution drastique du cycle de vie des appareils.
Rester protégé
David Jursa invite les utilisateurs à scruter de près les pages Web et à protéger leurs réseaux privés. « Les utilisateurs doivent se montrer prudents lorsqu’ils visitent le site Web de leur banque ou de Netflix, et s’assurer que la page possède un certificat valide, en vérifiant la présence du cadenas de sécurité dans la barre URL du navigateur. De plus, ils doivent fréquemment mettre à jour le micrologiciel de leur routeur pour la version la plus récente, et configurer leurs identifiants de connexion avec un mot de passe fort. »
Vérifiez si votre routeur est infecté à l’aide de la fonction Avast Wi-Fi Inspector, qui est incluse dans l’antivirus gratuit d’Avast et dans toutes les versions antivirus Avast payantes. Elles incluent également Avast Web Shield, une protection essentielle contre les attaques CSRF.