Les attaques de type DNS Hijacking arrivent en Europe

0

Le 16 avril, les chercheurs de Kaspersky Lab ont signalé un nouveau malware Android diffusé via une technique de manipulation du Domain Name System (DNS Hijacking) et visant principalement les smartphones en Asie. Quatre semaines plus tard, la menace continue d’évoluer rapidement et élargit désormais son ciblage géographique pour y inclure l’Europe et le Moyen-Orient, en y ajoutant une option de phishing pour les appareils iOS et une capacité de minage de cryptomonnaie sur PC.

Cette campagne malveillante, dénommée Roaming Mantis, est principalement conçue pour dérober des informations aux utilisateurs, notamment leurs identifiants, et donner aux auteurs des attaques le contrôle total des machines infectées. Les chercheurs pensent qu’un groupe cybercriminel coréanophone ou sinophone se cache derrière l’opération, en quête d’un gain financier.

Méthode d’attaque

Les résultats de l’enquête de Kaspersky Lab indiquent que ceux qui se cachent derrière les attaques Roaming Mantis recherchent des routeurs vulnérables à pirater et propagent le malware par une technique simple mais très efficace, consistant à manipuler les paramètres DNS des routeurs infectés. La méthode de piratage des routeurs demeure inconnue. Une fois le DNS détourné avec succès, toute tentative d’accès à un site web par un utilisateur le dirige vers une URL d’apparence authentique mais présentant un contenu falsifié, issu du serveur des attaquants.

L’utilisateur se voit notamment invité à installer la dernière version de Chrome pour améliorer la qualité de la navigation. Un clic sur le lien affiché déclenche l’installation d’une application renfermant un cheval de Troie, nommée « facebook.apk » ou « chrome.apk ». Cette application contient le backdoor de l’attaque pour Android.

Le malware Roaming Mantis vérifie si l’appareil est en mode root et demande l’autorisation d’être notifié de toute communication ou activité de navigation effectuée par l’utilisateur. Il est également capable de collecter un large éventail de données, notamment des identifiants pour une authentification à deux facteurs. Ces spécificités, ainsi que le fait qu’une partie du code malveillant fasse référence à des applications bancaires mobiles ou des jeux, très prisés en Corée du Sud, laissent penser qu’une possible motivation financière est à l’origine de cette campagne.

Extension du ciblage géographique et des fonctionnalités

Avec environ 150 cibles, principalement en Corée du Sud, au Bangladesh et au Japon, mais elle a également révélé des milliers de connexions aboutissant quotidiennement aux serveurs de commande et de contrôle (C&C) des assaillants, ce qui indique une attaque de bien plus grande ampleur. Au départ, le malware affichait ses messages dans quatre langues : coréen, chinois simplifié, japonais et anglais.

La portée de l’attaque s’est aujourd’hui élargie, avec l’utilisation de 27 langues au total, notamment le polonais, l’allemand, l’arabe, le bulgare et le russe. Ses auteurs ont par ailleurs introduit une redirection vers des pages de phishing dédiées à Apple dans le cas où le malware rencontre un appareil iOS. Le dernier ajout dans leur arsenal est un site web malveillant doté d’une capacité de cryptominage sur PC.

D’après les observations de Kaspersky Lab, au moins une vague d’attaques plus vastes a eu lieu, les chercheurs ayant identifié plus d’une centaine de cibles parmi les clients de la société en l’espace de quelques jours.

« Lorsque nous avons publié notre premier rapport sur Roaming Mantis en avril, nous avons précisé qu’il s’agissait d’une menace active et en mutation rapide. De nouveaux éléments révèlent un élargissement spectaculaire du ciblage géographique, qui englobe à présent l’Europe et le Moyen-Orient, entre autres. Nous pensons que les auteurs de ces attaques sont des cybercriminels mus par l’appât du gain et nous avons découvert un certain nombre d’indices laissant penser que ceux-ci utilisent la langue chinoise ou coréenne. Il existe clairement une motivation considérable derrière cette menace. Par conséquent il est peu probable qu’elle disparaisse de sitôt. L’utilisation de routeurs infectés et de DNS piratés souligne la nécessité d’une robuste protection des appareils et de connexions sécurisées », commente Suguru Ishimaru, chercheur en sécurité chez Kaspersky Lab au Japon.

Comment protéger votre connexion Internet de cette infection

Afin de protéger votre connexion Internet de cette infection, Kaspersky Lab recommande les précautions suivantes :

  • Se reporter au manuel d’utilisation de votre routeur pour vérifier que vos paramètres DNS n’ont pas été manipulés ou bien demander l’aide de votre FAI.
  • Modifier l’identifiant et le mot de passe par défaut de l’interface d’administration web du routeur et mettre régulièrement à jour son firmware depuis la source officielle.
  • Ne jamais installer de firmware de routeur à partir d’une source tierce. Eviter d’utiliser des répertoires tiers pour vos appareils Android.
  • En outre, toujours vérifier que les adresses du navigateur et des sites web sont authentiques, notamment par la présence du préfixe https lorsqu’il faut saisir des données.
  • Envisager d’installer une solution de sécurité mobile afin de protéger vos appareils contre cette menace et d’autres.
Share.

About Author

Leave A Reply