Des typosquatteurs attaquent les utilisateurs Mac via des domaines .om

Une nouvelle campagne de cybercrimanité qui repose sur des sites malveillants enregistrés dans le domaine .om (Oman) a été découverte. Les individus malintentionnés enregistrent ces sites dans l’espoir que les utilisateurs commettent une faute de frappe au moment de vouloir accéder à des sites de la zone de 1er niveau .com. Il convient de noter que le malware utilisé dans le cadre de cette campagne vise uniquement les ordinateurs qui tournent sous OS X.

Des chercheurs de la société de sécurité informatique Endgame ont identifié plus de 300 domaines .om associés à des noms très connus : Citibank, Dell, Macys, Gmail, etc. Ces faux sites sont hébergés chez différentes sociétés d’hébergement et il semblerait qu’ils sont utilisés par plusieurs groupes de cybercriminels.

Tout indique que cette cybercampagne vise les utilisateurs de Mac OS X. Comme a pu le constater Endgame, lorsqu’un internaute arrive sur le site des typosquatteurs depuis un ordinateur Apple, il voit un message qui indique la nécessité d’actualiser Adobe Flash. En réalité, il s’agit d’un piège tendu par les individus malintentionnés pour convaincre l’utilisateur de télécharger un module d’affichage de publicités connus sous le nom de Genieo.

D’après Endgame, Genieo est une « version d’un malware/logiciel publicitaire pour OS X » qui « s’introduit normalement dans le système d’un utilisateur sous la forme d’une mise à jour pour Adobe Flash ». Une fois sur l’ordinateur cible, le malware télécharge un fichier .dmg pour OS X. « Ensuite, Genieo s’incruste dans l’hôte en s’installant sous la forme d’une extension pour différents navigateurs pris en charge (Chrome, Firefox, Safari) » explique Mark Dufresne, le directeur du service d’analyse antivirus de la société.

Quand un utilisateur Windows arrive sur le site de typosquattage, il est redirigé vers un réseau de publicités. « La page cible est probablement remplies d’annonces, de sondages à remplir en échange d’un appareil électronique gratuit ou de « résultats » inquiétants capables de convaincre l’utilisateur de télécharger et de lancer un antivirus quelconque qui ne fera que compliquer les choses et multipler les publicités invasives » affirme Mark Dufresne.

Dans un entretien accordé à Threatpost, l’expert a également indiqué : « Pour l’instant, nous n’avons remarqué rien d’autre que l’utilisation du typosquattage pour propager le malware bien connu Genieo et rediriger les utilisateurs vers des réseaux de publicité. Toutefois, sur la base du volume de trafic envoyé par erreur dans la zone .om, ce mode de fonctionnement pourrait être utilisé avec une efficacité toute aussi grande pour propager des menaces plus graves. »

Dans le cadre de l’analyse de la campagne en cours, les chercheurs se sont également intéressés aux données d’enregistrement et à l’hébergement Internet. « 334 sites dans le domaine .om, associés à des noms bien connus sur Internet sont hébergés par 15 hébergeurs différents » constate Mark Dufresne dans son blog. Trois de ces domaines sont associé à des adresses IP d’un même hébergeur établi au New Jersey.

« Etonnament, les piles de logiciels sur ces serveurs étaient très similaires » poursuit Mark Dusfresne, tout en ajoutant que nombreux sont les serveurs associés à des domaines d’escroquerie qui possèdent des vulnérabilités qui n’ont pas été corrigées, notamment des bogues d’exécution à distance du code. « Ces noeuds peuvent être facilement exploités par d’autres individus malintentionnés et ils donneront un contenu malveillant (peut-être plus dangereux) différent du contenu proposé actuellement » avertit l’expert.

Threatpost a contacté Telecom Regulatory Authority, administrateur de la zone de domaine d’Oman, afin de connaître son opinion sur la situation mais nous n’avons pas reçu de réponses. Malheureusement, il n’est pas possible d’exercer une pression via l’ICANN : des représentants de cette organisation non commerciale ont signalé à Threatpost que les opérateurs de domaines de premier niveau géographique (à la différence des génériques) n’ont aucune obligation contractuelle vis-à-vis l’ICANN. La politique de cette organisation concerne uniquement les domaines de premier niveau générique. Pour cette raison, tous les différends relatifs à l’utilisation de domaines de premier niveau géographique sont résolus selon la législation du pays en question.

Mark Dusfresne n’exclut pas également que les typosquatteurs ont exploité une faille dans la procédure d’enregistrement de domaines de la zone .om. Lorsque des représentants d’Endgame ont tenté d’enregistrer un domaine dans la zone .om, ils ont du confirmer leur droit à l’enregistrement d’un domaine commercial. « On comprend difficilement comment des typosquatteurs ont réussi à enregistrer autant de domaines au cours d’un délai aussi bref » affirme Mark Dusfresne.

Le seul élément que les enquêteurs ont réussi à confirmer est que « l’écrasante majorité des domaines .om enregistrés est malveillante et que le trafic qu’ils reçoivent est anormalement élevé. »

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *