Un nouveau malware baptisé Detour Dog a transformé près de 30 000 sites web légitimes en pièges. Invisible pour les internautes, le virus détourne le système DNS, l’annuaire d’Internet, pour voler des mots de passe et des données bancaires. Redoutablement discréte, l’attaque est passée plus d’un an sous les radars des experts en cybersécurité.
Les chercheurs d’Infoblox Threat Intel tirent la sonnette d’alarme au sujet d’un malware furtif et invisible, Detour Dog. Selon les experts en cybersécurité, le logiciel malveillant a compromis près de 30 000 sites web différents. Il s’agissait de sites totalement légitimes et inoffensifs avant qu’ils ne tombent sous la coupe du malware. Pour pirater les sites, les cybercriminels sont notamment passés par des failles de sécurité sur les serveurs.
À lire aussi : Après avoir piraté les données de milliers d’enfants, les hackers de Radiant présentent leurs excuses
Un piège qui repose sur le DNS
Les sites compromis vont désormais servir de pièges. Lorsqu’un internaute visite le site piraté, celui-ci va entrer en contact avec un serveur DNS (Domain Name System) contrôlé par les hackers. Quand vous tapez l’adresse d’un site web, votre navigateur demande en effet au serveur du site la page web que vous souhaitez afficher. Piraté en amont de l’attaque, ce serveur va orchestrer une série d’actions malveillantes.
Avant d’envoyer la page en question, le serveur piraté va envoyer des informations sur l’internaute au serveur sous le contrôle des cybercriminels. Le serveur DNS pirate analyse les données reçues et renvoie une instruction codée, qui indique au site compromis s’il doit afficher la page normalement, rediriger vers une arnaque, ou télécharger discrètement un malware sur l’appareil. Ces « demandes DNS sont faites côté serveur, c’est-à-dire à partir du site Web lui-même, et ne sont pas visibles par le visiteur », souligne Infoblox. En fait, 90 % des visiteurs finissent par se retrouver sur la version normale du site. C’est pourquoi la menace est très difficile à détecter. L’attaque est d’ailleurs restée plus d’un an hors du radar des chercheurs.
Pour attirer les internautes sur les sites compromis, les cybercriminels vont d’abord envoyer un mail contenant une pièce jointe qui se fait passer pour une facture. Intriguée, la cible va ouvrir cette pièce jointe non sollicitée. Celle-ci va ouvrir un site web piraté, qui interroge un serveur malveillant pour télécharger un logiciel malveillant, une porte dérobée appelée StarFish. Ce dernier installe par la suite Strela Stealer, un virus espion qui vole tous vos mots de passe et toutes vos données bancaires. Actif depuis trois ans, le spyware est taillé pour aspirer toutes les données sur la machine. L’attaque est particulièrement complexe et sophistiquée.
À lire aussi : Vague d’attaques contre les géants de l’automobile – Renault et Dacia ont subi une fuite de données
Des antivirus impuissants
Les antivirus ne sont pas en mesure de vous protéger contre la cyberattaque. En effet, les solutions de sécurité sont dans l’incapacité de vous prémunir contre les actions malveillantes qui sont orchestrées sur des serveurs web compromis, loin de votre appareil. En passant par l’annuaire DNS, les pirates sont ainsi parvenus à rester discrets pendant longtemps. L’opération a néanmoins finalement été mise en lumière il y a quelques mois.
Les chercheurs d’Infoblox ont vite pris des mesures pour bloquer les domaines compromis. Ils ont contacté la Shadowserver Foundation, une organisation à but non lucratif qui surveille Internet pour repérer les cyberattaques, les virus et les serveurs piratés. L’organisation a court-circuité une partie de l’infrastructure des cybercriminels en prenant le contrôle de deux domaines. Les pirates à l’origine de Detour Dog ont promptement réagi en lançant de nouveaux domaines et en mettant en place d’autres serveurs. Les pirates sont particulièrement récalcitrants, et « Detour Dog est toujours en train de mûrir » avec des fonctions d’exécution de fichiers à distance de plus en plus préoccupantes, alerte Infoblox.
On vous recommande donc de faire preuve de prudence. Surtout, n’ouvrez jamais de pièce jointe non sollicitée reçue par e-mail, surtout en provenance d’expéditeurs inconnus. Faites très attention aux fichiers SVG ou autres formats inhabituels en pièce jointe. Il n’y a aucune raison qu’une facture soit transmise par le biais d’un fichier SVG par exemple.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Infoblox