Netlab 360, le laboratoire de cybersécurité de l'entreprise chinoise QuiHoo a détecté un puissant botnet qui sévit au Brésil. Son nom ? GhostDNS. Ce dernier est conçu pour voler les identifiants bancaires des internautes.
Encore un. Un nouveau botnet IoT a compromis près de 100 000 routeurs au Brésil. Ce sont pas moins de 70 modèles vendus aux particuliers qui sont touchés par cette attaque. Celle-ci est particulièrement vicieuse. Les hackers n'ont pas pour but de mettre hors service ces produits ou des sites Web par le biais d'une attaque DDoS, mais de vider des comptes en banque.
GhostDNS : quand un botnet IoT est conçu pour dérober les identifiants des internautes
Radware, un fournisseur de services d'équilibrage de charge et de cybersécurité pour les centres de données a identifié la dernière campagne d'attaque. Elle visait les clients de Banco do Brasil, une des plus vieilles banques du pays. En effectuant une redirection DNS, le ou les cyberattaquants ont cloné le portail Web de l'établissement pour voler les données bancaires des internautes.
Selon le Netlab 360 de QuiHoo, le botnet nommé GhostDNS prend de l'ampleur. Dans un document publié le 29 septembre 2018, le spécialiste de la cybersécurité précisait le nombre de routeurs atteints et le nombre de modèles concernés. Les chercheurs indiquent également la méthode mise en place par le ou les attaquants.
Pour prendre le contrôle des routeurs, le programme malveillant tente de deviner le mot de passe ou lance un script CGI permettant de modifier le serveur DNS associé à un dispositif. En remplaçant le serveur par le leur, les hackers s'assurent le contrôle du Botnet. A cet effet, Netlab 360 a identifié trois variantes de programme modificateur de DNS dont des applications JavaScript et Python.
Ce n'est qu'un des modules du GhostDNS. Outre un modificateur de DNS, le botnet contient un module de Phishing Web, un module Web Admin et un DNS malveillant. Chacun de ses outils permet aux hackers d'atteindre un maximum d'appareils.
GhostDNS : une boîte à outils complète, mais malveillante
Toujours selon le laboratoire de cybersécurité, le module modificateur de DNS fonctionne sur 21 modèles de routeurs, la version JavaScript peut infecter 6 modèles, tandis que la version Python a été installée sur 100 serveurs, principalement sur Google Cloud.
L'attaque n'est pas négligeable. Près de 88 % des appareils infectés sont localisés au Brésil. Les changeurs de DNS ont infecté plus de 50 noms de domaines dont Netflix, Citibank.br et d'autres banques brésiliennes ont été piratés pour récupérer les identifiants des utilisateurs. Par ailleurs, les serveurs DNS non autorisés opéraient sur Hostkey, Oracle, Multacom, Amazon, Google, Telefónica, Aruba et OVH. Netlab 360 a informé les entreprises en question qui ont pour la plupart supprimé les adresses IP correspondantes.
Les routeurs infectés proviennent entre autres les marques D-Link, Cisco, Alcatel, Fiberlink, A-Link, Thomson ou encore Siemens. Ceux-ci ont été repérés en Bolivie, au Mexique, en Russie, aux États-Unis, au Venezuela, ou encore Saint Martin.
Netlab 360 estime que GhostDNS est “une réelle menace pour l'Internet mondial”. Les chercheurs recommandent aux internautes et aux entreprises brésiliennes de mettre à jour leurs routeurs.
- Partager l'article :
