Une attaque visant des routeurs domestiques redirige les utilisateurs vers des sites malveillants

Par

le

Bitdefender a découvert une attaque visant des routeurs domestiques. Celle-ci permet de changer les paramètres DNS et de rediriger les utilisateurs vers des sites malveillants.

La pandémie de coronavirus n'est certainement plus à prendre à la légère : elle a tué des milliers de personnes à travers le monde et continue de se propager à un rythme alarmant. Naturellement, la croissance du virus a effrayé les gens et certaines personnes mal intentionnées choisissent de profiter de ces craintes pour défendre leurs propres intérêts.

Tel que rapporté par les chercheurs de Bitdefender mercredi, une nouvelle attaque a été révélée qui utilise le détournement de DNS pour rediriger les utilisateurs vers une page Web qui propose un téléchargement d'application Covid-19. Malheureusement, les utilisateurs qui se laissent duper ne téléchargeront rien de bénéfique; au lieu de cela, leur système sera infecté par des logiciels malveillants, qui continueront à récupérer des informations telles que les informations d'identification du portefeuille de crypto-monnaie et d'autres données privées.

Selon Bitdefender, le piratage est probablement accompli par des pirates informatiques qui "sondent Internet" à la recherche de routeurs vulnérables et utilisent des techniques de brute force pour deviner les mots de passe du panneau de contrôle (ce qui n'est pas très difficile à faire, car de nombreux utilisateurs laissent ces informations d'identification comme "admin" et " et mot de passe"). Une fois qu'un attaquant a accès au panneau de configuration de votre routeur, la modification de vos paramètres DNS est un processus trivial.

Bitdefender explique le hack comme suit:

"Les paramètres DNS sont très importants, car ils fonctionnent comme un annuaire téléphonique. Chaque fois que les utilisateurs saisissent le nom d'un site Web, les services DNS peuvent les envoyer à l'adresse IP correspondante qui dessert ce nom de domaine particulier. En un mot, le DNS fonctionne à peu près comme votre agenda de smartphones: chaque fois que vous voulez appeler quelqu'un, il vous suffit de rechercher son nom au lieu d'avoir à mémoriser son numéro de téléphone.
Une fois que les attaquants ont modifié les adresses IP DNS, ils peuvent résoudre toute demande et rediriger les utilisateurs vers des pages Web contrôlées par les attaquants, sans que personne ne soit plus sage."

Le malware est stocké dans les référentiels Bitbucket, mais les liens sont masqués à l'aide de TinyURL pour empêcher les utilisateurs de suspecter quoique ce soit. Certains des domaines ciblés pour les redirections malveillantes sont goo.gl, bit.ly, washington.edu, cox.net et aws.amazon.com.

Les chercheurs de Bitdefender pensent qu'environ 1 200 personnes ont été touchées par cette attaque, et l'équipe a trouvé jusqu'à présent quatre référentiels Bitbucket malveillants distincts. Sur le plan géographique, la plupart des victimes semblent provenir des États-Unis, de l'Allemagne et de la France.

Si vous êtes préoccupé par cette attaque, Bitdefender recommande de modifier les informations d'identification de connexion au panneau de configuration de votre routeur, de mettre à jour le micrologiciel de votre routeur et, bien sûr, de télécharger une suite logicielle antivirus robuste si vous n'en avez pas déjà une. Pour le moment, il semble que les routeurs Linksys soient les plus ciblés, mais cela pourrait changer en fin de compte.