Des hackers détournent le DNS des routeurs pour livrer une fausse application COVID-19

Des hackers exploitent la peur de l’épidémie actuelle de Coronavirus (COVID-19) comme appât pour des cyberattaques, que ce soit en exploitant les cartes du Coronavirus pour voler des informations utilisateur, ou une fausse application de suivi du Coronavirus pour bloquer des appareils Android, ou une application Android malveillante qui promet d’obtenir un masque de sécurité contre le Coronavirus, ou la tentative de piratage signalée contre l’Organisation mondiale de la santé (OMS).

Dans une campagne de cyberattaque récemment découverte, des chercheurs ont constaté que des hackers détournent apparemment les paramètres DNS des routeurs afin que les navigateurs web affichent de fausses alertes COVID-19 de l’OMS et redirigent les utilisateurs d’ordinateurs Windows vers du contenu malveillant.

Selon BleepingComputer, les victimes de la campagne ont vu leurs navigateurs web s’ouvrir automatiquement et afficher un message leur demandant de télécharger un “Informateur d’urgence – COVID-19” ou “Application d’information COVID-19” qui était prétendument de l’OMS. En réalité, l’application frauduleuse est un logiciel malveillant appelé Oksi qui vole des informations.

Lors d’une enquête plus approfondie, il a été découvert que ces alertes étaient le résultat d’une cyberattaque qui a modifié les serveurs DNS configurés sur les routeurs D-Link ou Linksys des victimes pour utiliser des serveurs DNS opérés par les attaquants.

Étant donné que la plupart des ordinateurs utilisent l’adresse IP et les informations DNS fournies par leur routeur, les serveurs DNS malveillants redirigeaient les victimes vers du contenu malveillant sous le contrôle des attaquants, selon des experts.

Pour ceux qui ne le savent pas, Oksi est capable de voler des données basées sur le navigateur — y compris les cookies, l’historique internet et les informations de paiement — ainsi que les identifiants de connexion enregistrés, les portefeuilles de cryptomonnaie, les fichiers texte, les informations de remplissage automatique des formulaires de navigateur et les bases de données d’authentificateurs Authy 2FA.

Il n’est toujours pas clair comment les attaquants ont eu accès aux routeurs affectés, mais certains utilisateurs affirment avoir laissé leurs capacités d’accès à distance ouvertes avec un mot de passe administrateur faible.

“Cette attaque souligne la nécessité pour les gens de s’assurer qu’ils changent le nom d’utilisateur/mot de passe par défaut de leur routeur domestique, car un certain nombre d’utilisateurs affectés ont admis avoir une combinaison faible ou par défaut,” a déclaré Laurence Pitt, directeur de la stratégie de sécurité mondiale chez Juniper Networks. “La plupart des fournisseurs d’accès à internet aujourd’hui fournissent des routeurs qui ont une configuration de sécurité par défaut d’une force décente. Il semble que cette attaque ait ciblé une certaine marque de routeur, [ce qui] indiquerait également que les utilisateurs ont laissé la combinaison administrateur/mot de passe par défaut pour accéder à l’appareil.”

Selon BleepingComputer, lorsqu’un ordinateur se connecte à un réseau, Microsoft utilise une fonctionnalité appelée ‘Indicateur d’état de connectivité réseau (NCSI)’ pour vérifier la connectivité internet.

Dans ce cas, au lieu de se connecter à l’adresse IP légitime de Microsoft, les serveurs DNS malveillants envoient l’utilisateur vers un site contrôlé par des hackers qui affiche l’alerte pour télécharger et installer un faux ‘Informateur d’urgence – COVID-19’ ou ‘Application d’information COVID-19’ de l’OMS.

Si un utilisateur télécharge et installe l’application, au lieu de recevoir une application d’information COVID-19, le Trojan Oski volera des informations sur son ordinateur.

Lors de son lancement, ce logiciel malveillant tentera de voler des informations telles que les cookies du navigateur, l’historique internet du navigateur, les informations de paiement du navigateur, les identifiants de connexion enregistrés, les portefeuilles de cryptomonnaie, les fichiers texte, les informations de remplissage automatique des formulaires de navigateur, les bases de données d’authentificateurs Authy 2FA, une capture d’écran du bureau de l’utilisateur au moment de l’infection, et plus encore.

Ces informations volées sont ensuite téléchargées sur un serveur distant où les attaquants collectent les données pour effectuer d’autres attaques sur les comptes en ligne de la victime afin de voler de l’argent sur des comptes bancaires, réaliser un vol d’identité, ou d’autres attaques de phishing ciblées.

Si votre navigateur ouvre aléatoirement une page promotionnelle d’application d’information COVID-19, assurez-vous de reconfigurer votre routeur afin qu’il puisse recevoir automatiquement ses serveurs DNS de votre FAI. Il est également conseillé de réinitialiser votre mot de passe par un mot de passe plus fort et de désactiver l’administration à distance sur le routeur.

Pour ceux qui ont téléchargé et installé l’application COVID-19, effectuez immédiatement une analyse de malware sur votre ordinateur. Une fois nettoyé, assurez-vous de changer les mots de passe pour tous les sites dont les identifiants sont enregistrés dans votre navigateur ainsi que pour les sites que vous avez visités après avoir été infecté. Plus important encore, assurez-vous d’utiliser un mot de passe unique sur chaque site lors de la réinitialisation de vos mots de passe.