Découvert il y a plus d’un an, GhostDNS continue de faire des victimes pour la France. Les logiciels malveillants modifient les paramètres des routeurs vulnérables afin de diriger l’utilisateur vers de faux sites lorsqu’il tente d’accéder aux pages de banques comme Bradesco et Santander, et de services comme PagSeguro et Netflix.
Le mode de propagation n’a pas changé d’une année à l’autre. Selon Avast, le fléau infecte les routeurs lorsque l’utilisateur accède à des sites qui affichent de la publicité malveillante distribuée par des réseaux publicitaires.
Dans ce cas, l’utilisateur est dirigé vers une page contenant le kit d’exploitation GhostDNS, une boîte à outils qui permet d’infecter le routeur. Toute l’action est effectuée en arrière-plan, sans que l’utilisateur ne s’en aperçoive.
Si l’attaque fonctionne, les paramètres DNS du routeur seront modifiés pour diriger l’utilisateur vers de faux sites bancaires et d’autres services, comme mentionné ci-dessus. Toujours selon Avast, ce sont les adresses les plus ciblées au cours du mois de novembre (mais pas les seules) :
Le faux site web de Bradesco a attiré beaucoup d’attention : il ressemble beaucoup à la page de la vraie banque. Cependant, Avast souligne certains signes d’avertissement, comme le fait que plusieurs liens ne fonctionnent pas et que le navigateur indique que le site n’est pas sécurisé (pas de HTTPS).
Si l’utilisateur ne remarque pas le piège, il saisira ses informations de connexion sur la page et verra ensuite un avertissement lui indiquant que le système est temporairement indisponible. En fait, il aura simplement donné aux criminels les détails d’accès à son compte bancaire.
En général, l’objectif des faux sites est précisément de saisir des informations d’identification. Cela permet d’expliquer, par exemple, le fait que les comptes Netflix sont vendus en dark web ou dans des groupes obscurs de WhatsApp.
Le plus récent pic d’action de GhostDNS semble s’être produit le 25 novembre. Avast affirme avoir bloqué environ 5 500 tentatives d’attaque de deux sites malveillants à cette date. Toutes les adresses modifiées pointaient vers un serveur sur Digital Ocean qui, une semaine plus tard, était toujours actif.
Comment se protéger contre GhostDNS
Le conseil le plus important est d’installer la version actuelle du micrologiciel de votre routeur, quelle que soit la marque. Si l’équipement est ancien, il est bon de le remplacer par un modèle plus récent. Il est également recommandé, lorsque c’est possible, de changer le nom d’utilisateur et le mot de passe par défaut du routeur.
Vérifier périodiquement que les paramètres DNS de votre routeur sont corrects est une autre bonne mesure de sécurité.
Notez également le site auquel vous accédez. Si vous remarquez un problème, ne vous connectez pas. De plus, activez l’authentification à deux facteurs lorsque cette fonction est disponible.