Infos

Des typosquatteurs attaquent les utilisateurs Mac via des domaines .om

Une nouvelle campagne de cybercrimanité qui repose sur des sites malveillants enregistrés dans le domaine .om (Oman) a été découverte. Les individus malintentionnés enregistrent ces sites dans l’espoir que les utilisateurs commettent une faute de frappe au moment de vouloir accéder à des sites de la zone de 1er niveau .com. Il convient de noter que le malware utilisé dans le cadre de cette campagne vise uniquement les ordinateurs qui tournent sous OS X.

Des chercheurs de la société de sécurité informatique Endgame ont identifié plus de 300 domaines .om associés à des noms très connus : Citibank, Dell, Macys, Gmail, etc. Ces faux sites sont hébergés chez différentes sociétés d’hébergement et il semblerait qu’ils sont utilisés par plusieurs groupes de cybercriminels.

Tout indique que cette cybercampagne vise les utilisateurs de Mac OS X. Comme a pu le constater Endgame, lorsqu’un internaute arrive sur le site des typosquatteurs depuis un ordinateur Apple, il voit un message qui indique la nécessité d’actualiser Adobe Flash. En réalité, il s’agit d’un piège tendu par les individus malintentionnés pour convaincre l’utilisateur de télécharger un module d’affichage de publicités connus sous le nom de Genieo.

D’après Endgame, Genieo est une « version d’un malware/logiciel publicitaire pour OS X » qui « s’introduit normalement dans le système d’un utilisateur sous la forme d’une mise à jour pour Adobe Flash ». Une fois sur l’ordinateur cible, le malware télécharge un fichier .dmg pour OS X. « Ensuite, Genieo s’incruste dans l’hôte en s’installant sous la forme d’une extension pour différents navigateurs pris en charge (Chrome, Firefox, Safari) » explique Mark Dufresne, le directeur du service d’analyse antivirus de la société.

Quand un utilisateur Windows arrive sur le site de typosquattage, il est redirigé vers un réseau de publicités. « La page cible est probablement remplies d’annonces, de sondages à remplir en échange d’un appareil électronique gratuit ou de « résultats » inquiétants capables de convaincre l’utilisateur de télécharger et de lancer un antivirus quelconque qui ne fera que compliquer les choses et multipler les publicités invasives » affirme Mark Dufresne.

Dans un entretien accordé à Threatpost, l’expert a également indiqué : « Pour l’instant, nous n’avons remarqué rien d’autre que l’utilisation du typosquattage pour propager le malware bien connu Genieo et rediriger les utilisateurs vers des réseaux de publicité. Toutefois, sur la base du volume de trafic envoyé par erreur dans la zone .om, ce mode de fonctionnement pourrait être utilisé avec une efficacité toute aussi grande pour propager des menaces plus graves. »

Dans le cadre de l’analyse de la campagne en cours, les chercheurs se sont également intéressés aux données d’enregistrement et à l’hébergement Internet. « 334 sites dans le domaine .om, associés à des noms bien connus sur Internet sont hébergés par 15 hébergeurs différents » constate Mark Dufresne dans son blog. Trois de ces domaines sont associé à des adresses IP d’un même hébergeur établi au New Jersey.

« Etonnament, les piles de logiciels sur ces serveurs étaient très similaires » poursuit Mark Dusfresne, tout en ajoutant que nombreux sont les serveurs associés à des domaines d’escroquerie qui possèdent des vulnérabilités qui n’ont pas été corrigées, notamment des bogues d’exécution à distance du code. « Ces noeuds peuvent être facilement exploités par d’autres individus malintentionnés et ils donneront un contenu malveillant (peut-être plus dangereux) différent du contenu proposé actuellement » avertit l’expert.

Threatpost a contacté Telecom Regulatory Authority, administrateur de la zone de domaine d’Oman, afin de connaître son opinion sur la situation mais nous n’avons pas reçu de réponses. Malheureusement, il n’est pas possible d’exercer une pression via l’ICANN : des représentants de cette organisation non commerciale ont signalé à Threatpost que les opérateurs de domaines de premier niveau géographique (à la différence des génériques) n’ont aucune obligation contractuelle vis-à-vis l’ICANN. La politique de cette organisation concerne uniquement les domaines de premier niveau générique. Pour cette raison, tous les différends relatifs à l’utilisation de domaines de premier niveau géographique sont résolus selon la législation du pays en question.

Mark Dusfresne n’exclut pas également que les typosquatteurs ont exploité une faille dans la procédure d’enregistrement de domaines de la zone .om. Lorsque des représentants d’Endgame ont tenté d’enregistrer un domaine dans la zone .om, ils ont du confirmer leur droit à l’enregistrement d’un domaine commercial. « On comprend difficilement comment des typosquatteurs ont réussi à enregistrer autant de domaines au cours d’un délai aussi bref » affirme Mark Dusfresne.

Le seul élément que les enquêteurs ont réussi à confirmer est que « l’écrasante majorité des domaines .om enregistrés est malveillante et que le trafic qu’ils reçoivent est anormalement élevé. »

Fonte: Threatpost

Des typosquatteurs attaquent les utilisateurs Mac via des domaines .om

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception