Sécurité

GhostDNS : un logiciel malveillant qui modifie les routeurs DNS cible les banques et Netflix

Découvert il y a plus d’un an, GhostDNS continue de faire des victimes pour la France. Les logiciels malveillants modifient les paramètres des routeurs vulnérables afin de diriger l’utilisateur vers de faux sites lorsqu’il tente d’accéder aux pages de banques comme Bradesco et Santander, et de services comme PagSeguro et Netflix.

Le mode de propagation n’a pas changé d’une année à l’autre. Selon Avast, le fléau infecte les routeurs lorsque l’utilisateur accède à des sites qui affichent de la publicité malveillante distribuée par des réseaux publicitaires.

Dans ce cas, l’utilisateur est dirigé vers une page contenant le kit d’exploitation GhostDNS, une boîte à outils qui permet d’infecter le routeur. Toute l’action est effectuée en arrière-plan, sans que l’utilisateur ne s’en aperçoive.

Si l’attaque fonctionne, les paramètres DNS du routeur seront modifiés pour diriger l’utilisateur vers de faux sites bancaires et d’autres services, comme mentionné ci-dessus. Toujours selon Avast, ce sont les adresses les plus ciblées au cours du mois de novembre (mais pas les seules) :

  Google Play interdit les fausses applications sur Android et l'arnaque de signature
  • bradesco.com
  • santandernetibe.com.au
  • pagseguro.com.au
  • terra.com
  • uol.com
  • netflix.com
  • Le faux site web de Bradesco a attiré beaucoup d’attention : il ressemble beaucoup à la page de la vraie banque. Cependant, Avast souligne certains signes d’avertissement, comme le fait que plusieurs liens ne fonctionnent pas et que le navigateur indique que le site n’est pas sécurisé (pas de HTTPS).

    Si l’utilisateur ne remarque pas le piège, il saisira ses informations de connexion sur la page et verra ensuite un avertissement lui indiquant que le système est temporairement indisponible. En fait, il aura simplement donné aux criminels les détails d’accès à son compte bancaire.

    En général, l’objectif des faux sites est précisément de saisir des informations d’identification. Cela permet d’expliquer, par exemple, le fait que les comptes Netflix sont vendus en dark web ou dans des groupes obscurs de WhatsApp.

    Le plus récent pic d’action de GhostDNS semble s’être produit le 25 novembre. Avast affirme avoir bloqué environ 5 500 tentatives d’attaque de deux sites malveillants à cette date. Toutes les adresses modifiées pointaient vers un serveur sur Digital Ocean qui, une semaine plus tard, était toujours actif.

      Facebook étend les fonctionnalités de confidentialité à tous les utilisateurs

    Comment se protéger contre GhostDNS

    Le conseil le plus important est d’installer la version actuelle du micrologiciel de votre routeur, quelle que soit la marque. Si l’équipement est ancien, il est bon de le remplacer par un modèle plus récent. Il est également recommandé, lorsque c’est possible, de changer le nom d’utilisateur et le mot de passe par défaut du routeur.

    Vérifier périodiquement que les paramètres DNS de votre routeur sont corrects est une autre bonne mesure de sécurité.

    Notez également le site auquel vous accédez. Si vous remarquez un problème, ne vous connectez pas. De plus, activez l’authentification à deux facteurs lorsque cette fonction est disponible.

  • A propos de l'auteur

    Véronique

    La trentaine, maman de deux petits monstres de 10 ans. Je pèse chaque jour le pour et le contre dans l'utilisation des écrans pour mes bambins !
    J'écris souvent depuis les transports en commun (#teamTablette).

    Laisser un commentaire