in

Les pirates jouent avec les paramètres DNS des routeurs alors que le télétravail se propage dans le monde entier

Les routeurs Wi-Fi personnels sont depuis longtemps un point faible de la cybersécurité, ce qui est une préoccupation croissante, car la pandémie de COVID-19 oblige les gens à travailler à domicile.

 

Selon de nouveaux Recherche BitDefender, les criminels se sont empressés de manipuler ces routeurs dans un large éventail de pays en Europe, ainsi qu’aux États-Unis.

Les attaquants ont commencé à modifier les paramètres DNS (Domain Name System) dans les routeurs Linksys, pointant les utilisateurs vers ce qu’ils croient être un site Web légitime qui comprend également un message contextuel contenant des informations sur la pandémie. Cependant, une fois qu’un utilisateur clique dessus, une fausse application liée au coronavirus peut être téléchargée contenant des logiciels malveillants qui peuvent effectuer une multitude d’activités néfastes, selon Liviu Arsene, chercheur mondial en cybersécurité chez BitDefender.

« C’est un gros problème, surtout maintenant que tout le monde travaille à domicile », a déclaré Arsene à CyberScoop. « Le fait que le DNS de votre routeur soit compromis peut entraîner un désastre car si les attaquants peuvent vous rediriger vers la page de leur choix sans éveiller de soupçons dans votre navigateur, vous pourriez finir par révéler des informations d’identification, vous pourriez finir par donner des fichiers, toutes sortes d’informations sensibles, ou même permettre à des attaquants de se connecter à distance à l’infrastructure de votre entreprise. Compromettre le DNS d’un routeur est aussi mauvais que possible. »

On ne sait pas comment les attaquants, dont l’identité reste inconnue, modifient les paramètres du routeur. Arsene écrit dans un article de blog que les attaquants accèdent eux-mêmes aux consoles de gestion de routeur exposées ou forcent brutalement le service de l’entreprise qui permet aux gens de gérer les paramètres du routeur via le cloud.

«Nous pensons que c’est un forçage brutal, mais ce n’est pas nécessairement un forçage brutal du routeur lui-même», a déclaré Arsene à CyberScoop. « Soit le routeur lui-même est directement exposé en ligne pour la gestion à distance, soit (les attaquants) utilisent le forçage brutal sur les comptes cloud Linksys. »

À partir du 18 mars, les attaquants ont redirigé les utilisateurs à partir d’un certain nombre de sites Web populaires, y compris Amazon Web Services, Disney et Reddit, selon BitDefender. Le ciblage a atteint un sommet le 23 mars, atteignant environ 1200 personnes aux États-Unis, en Allemagne, en France, aux Pays-Bas, en Roumanie, aux Bermudes, en Pologne et en Serbie, a déclaré Arsene à CyberScoop.

Les États-Unis et l’Allemagne ont été les plus ciblés.

Difficile à détecter

Le piratage DNS est une attaque particulièrement difficile à repérer pour l’utilisateur moyen, car il incite la victime à penser qu’elle se trouve sur la page Web qu’elle avait l’intention de visiter.

«En modifiant les paramètres DNS sur le routeur, les utilisateurs penseraient en fait qu’ils ont atterri sur une page Web légitime, sauf qu’elle est servie à partir d’une adresse IP différente», explique Arsene.

Une fois que les victimes ont atterri sur les pages Web redirigées, elles semblent avoir trouvé des informations faisant autorité sur le COVID-19 de l’Organisation mondiale de la santé, ainsi qu’une invite à télécharger l’application malveillante.

Les pirates s’attaquent à la peur entourant les infections à COVID-19 depuis des mois, imitant l’OMS et le CDC dans les courriels contenant des logiciels malveillants et diffusant des applications liées aux coronavirus contenant des logiciels espions.

Mise à jour de l’infostealer

Le malware téléchargé – connu sous le nom d’infostealer Oski – est hébergé sur Bitbucket, un référentiel de contrôle de version basé sur le Web, qui pourrait aider les attaquants à «esquiver des solutions de sécurité qui bloquent les URL suspectes», a déclaré Arsene à CyberScoop. De plus, les attaquants utilisent TinyURL, le service de raccourcissement d’URL, pour masquer davantage leurs traces.

Deux des quatre référentiels Bitbucket identifiés par BitDefender dans cette campagne ont déjà été mis hors ligne, a déclaré Arsene, ce qui pourrait signifier qu’il y a plus de 1 200 fichiers dans lesquels BitDefender pourrait ne pas avoir de visibilité.

Le malware Oski est apparu pour la première fois sur les forums clandestins russes en décembre dernier, mais il s’est déjà révélé assez polyvalent. Depuis le 18 mars, les capacités du logiciel malveillant ont été mises à jour au moins trois fois, a déclaré Arsene à CyberScoop. Il peut voler les informations d’identification du portefeuille de crypto-monnaie, les informations d’identification du navigateur et les cookies, et dispose également de capacités d’enregistrement de clés.

Il est possible que davantage de capacités soient encore à venir, a déclaré Arsene.

Bien que l’infostealer Oski puisse communiquer avec le serveur de commande et de contrôle de l’attaquant pour télécharger des informations volées, Arsene dit qu’il ne sait pas si une exfiltration de données a eu lieu dans cette campagne particulière.

 

Comments

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Loading…

0

Plusieurs MacBooks avec processeurs ARM à venir l’année prochaine – ports USB4 en 2022

Le NHS se tourne vers les géants de la technologie pour aider à prédire la demande de ventilateurs