Actualités de la sécurité

Détournement du Web et autres nouvelles de la semaine

Avast Security News Team, 19 avril 2019

Les pirates de DNS tentent de saper l’ensemble de l’infrastructure Internet… et ce n’est que l’un des exploits des mauvais garçons de la semaine.

Sea Turtle pirate le Web

Un groupe de pirates informatiques qui, selon les experts, pourrait être soutenu par un État-nation, s’attaque aux gros poissons du monde de l'infrastructure du Web. Le groupe, surnommé Sea Turtle, a lancé des cyberattaques contre plus de 40 agences gouvernementales, sociétés de télécommunication et géants de l'Internet dans 13 pays pendant plus de deux ans, en utilisant le piratage du DNS (Domain Name System), une technique avancée qui redirige les utilisateurs depuis les sites Web qu'ils souhaitent consulter vers un serveur malveillant.

Comme les cibles incluent les ministères des Affaires étrangères et les services de renseignement ainsi que les serveurs racines Internet, il semble que la vocation principale de Sea Turtle soit l’espionnage. Parmi les domaines de premier niveau infiltrés figurent le .sa d'Arabie saoudite et le .am. d'Arménie. Les attaques commencent par une tentative de spear phishing, qui ouvre aux pirates une entrée sur le réseau de l'entreprise. À partir de là, ils recherchent des vulnérabilités et exfiltrent les informations d'identification. Ces informations d'identification sont ensuite utilisées pour mettre à jour les enregistrements du registraire DNS afin que le nom de domaine redirige vers le serveur choisi par les pirates. Le groupe a jusqu'à présent réussi ses attaques et les experts en cybersécurité incitent les entreprises à commencer à utiliser un protocole DNSSEC, un système de nom de domaine utilisant le chiffrement.

De fausses publicités insèrent des malwares dans les sessions iOS

eGobbler, un groupe de menaces, a lancé huit campagnes de « publicité malveillante » différentes qui sont apparues sur environ un demi-milliard de sessions d'utilisateurs en une semaine. Le groupe a infecté les pages d'accueil hébergées sur le domaine .world, ce qui a permis le déclenchement de publicités intempestives malveillantes pendant la navigation des utilisateurs. Le malware d’eGobbler profite d’une vulnérabilité de Chrome pour iOS pour contourner son bloqueur de fenêtres contextuelles. Le programme malveillant est également suffisamment sournois pour contourner les techniques de mise en sandbox d'annonces standards que les serveurs de publicité légitimes utiliseraient pour tester le fichier. Les chercheurs en cybersécurité estiment que ces attaques intempestives malveillantes constituent l'une des trois plus grandes campagnes de publicité malveillante des 18 derniers mois. Le 14 avril, la campagne a pris fin sur les serveurs .world et a démarré sur les serveurs .site.

La « Nasty List » balaie Instagram

Une escroquerie par phishing circule sur Instagram et informe les utilisateurs qu'ils sont apparus dans une prétendue « Nasty List » (Vilaine liste). L'escroquerie se propage via des comptes piratés qui sont utilisés pour alarmer des abonnés en leur envoyant des messages tels que « OMG, tu vraiment sur cette liste @The NastyList_34, ton numéro est 15 ! c'est vraie catastrophe. » Lorsque les utilisateurs visitent le profil de l'expéditeur, ils voient des messages encore plus pressants (avec une grammaire encore plus désastreuse) indiquant qu'ils figurent sur cette fameuse « Nasty List », ainsi qu'un lien malveillant censé renvoyer à celle-ci. Si les utilisateurs mordent à l'hameçon et cliquent sur le lien, ils sont dirigés vers une page de connexion Instagram falsifiée, où ils sont invités à saisir à nouveau leurs informations d'identification. Une fois les informations saisies, les cybercriminels disposent des données et peuvent prendre le contrôle des comptes des utilisateurs. Tous les utilisateurs IG qui reçoivent des messages mentionnant « The Nasty List » sont invités à supprimer le message et à ne plus suivre le profil de l'expéditeur. Cliquez ici pour voir les conseils d'Instagram.

Un groupe harponne l'armée ukrainienne

L'Ukraine est la cible de nombreuses cyberattaques, à tel point que l’on pourrait croire que son réseau est un banc d’essai pour les campagnes de programmes malveillants. Mais une campagne récente semble viser le pays à des fins d'espionnage. Les e-mails de spear-phishing semblent provenir d'une entreprise de défense britannique souhaitant faire suite à une réunion pour discuter de la « coopération avec les partenaires ukrainiens ». Des fichiers malveillants sont joints aux e-mails, sous la forme de documents. Lorsque les victimes les téléchargent, le logiciel malveillant déclenche l'envoi d'une deuxième charge utile du programme malveillant via son système C2 (commande et contrôle). La deuxième série du programme se concentre sur la surveillance des réseaux de l'armée ukrainienne. Un groupe basé en République populaire de Lougansk, une région qui a déclaré son indépendance en 2014, est soupçonné d’être à l’origine de l’attaque, bien que cela n’ait pas encore été confirmé.

Un expert de chez Avast fait ressortir un thème de la semaine

Luis Corrons, expert de la sécurité chez Avast, a noté que « trois des quatre actualités de cette semaine ont un point commun : l'attaque par phishing comme point de départ. Peu importe que la cible soit notre compte Instagram ou le réseau militaire d’un pays. Ce qui importe, c'est que les attaquants auront besoin de nos informations d'identification. L'authentification à deux facteurs (2FA) est la clé de notre protection. Lorsque cette fonctionnalité est activée, même avec un nom d'utilisateur et un mot de passe Instagram, les attaquants ne peuvent pas accéder à un compte. »


Avast est le leader mondial de la cybersécurité, protégeant des centaines de millions d’utilisateurs dans le monde entier. Protégez tous vos appareils avec notre antivirus gratuit primé.

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières actualités, pensez à nous suivre sur Facebook et Twitter.