Blog WatchGuard

Top 4 des incidents liés à des domaines malveillants en 2021

Les cybercriminels ont de plus en plus recours à des domaines malveillants en guise de vecteur d’attaque. Notre rapport en matière de sécurité Internet du 1er trimestre 2021 montrait déjà une hausse de 281 % du nombre de domaines bloqués par DNSWatch comparé au trimestre précédent, et indiquait qu’il y avait eu une activité significative lors de l’année écoulée avec des liens mettant à profit la crise liée au COVID-19.

Espionnage, fichiers Web, banques et réseaux sociaux

Microsoft annonçait en décembre dernier avoir désactivé 42 domaines malveillants créés par le groupe de cyber-espionnage chinois APT-15. Ce groupe avait trompé des membres d’organisations publiques et privées, de think tanks et d’ONG grâce à des liens ouvrant la porte aux malwares lorsque des utilisateurs insouciants cliquaient dessus, permettant au groupe d’accéder aux serveurs et d’obtenir des informations privilégiées sur les intérêts industriels et géopolitiques chinois. Les analystes pensent que cela faisait partie d’une immense campagne de cyber espionnage menée par la Chine.

D’autres incidents majeurs concernant des domaines ont eu lieu en 2021, impliquant des sites Web légitimes et bien connus qui ont été compromis. Par exemple, en juillet dernier, un script PowerShell malveillant a été découvert dans une des pages du portail archive.org contenant un programme de chargement abritant le malware AgentTesla d’Aggah, lié au groupe APT pakistanais Gorgon. Les chercheurs supposent que les pages du portail étaient utilisées pour accueillir le malware avant de servir dans le cadre de cyber attaques.

L’hameçonnage ou phishing est une autre technique couramment utilisée par ces liens, et le secteur bancaire figure habituellement parmi les plus affectés car les gains potentiels sont très élevés si les pirates parviennent à mettre la main sur les mots de passe des clients. Plusieurs clients de Chase Personal Banking ont été victimes d’une campagne de ce type : ils ont reçu un email frauduleux annonçant « Votre relevé de carte de crédit est maintenant disponible » avec un lien menant à une page de renvoi frauduleuse leur demandant leurs informations bancaires. Cet incident se distingue car l’email contenant ces liens factices était parvenu à contourner les filtres anti-spam de Microsoft Exchange Online Protection et Microsoft Defender pour Office 365.

Facebook a également servi de canal de diffusion de domaines malveillants l’année dernière. Dans ce cas, les pirates informatiques ont utilisé des comptes Facebook professionnels pour diffuser des publicités menant à des domaines servant de programmes de chargement pour le malware CopperStealer. Une fois injecté, le malware vole les identifiants de ses victimes et les cybercriminels utilisent ensuite leurs systèmes comme source de cyber attaques ultérieures.

Bonnes pratiques et firewalls

Tous les exemples ci-dessus démontrent que les pirates informatiques utilisent des techniques d’ingénierie sociale de plus en plus sophistiquées : ils trompent non seulement les utilisateurs, mais également, comme l’arnaque à l’hameçonnage de la banque personnelle Chase l’a montré, ils parviennent parfois à contourner les solutions de cybersécurité largement déployées, comme celles fournies par Microsoft.

Pour toutes ces raisons, les MSP devront mettre en place cette année des solutions de protection avancées du réseau pour leurs clients qui intègrent des firewalls de nouvelle génération. Grâce à ces solutions, ils seront capables de bloquer les liens suspects automatiquement et même de détecter les malwares cryptés qui peuvent circuler sur leurs réseaux, le tout étant géré très facilement à partir d’un système centralisé.

Grâce à ces outils, les MSP et autres équipes informatiques pourront générer des listes de sites Web de confiance et catégoriser les sujets les plus susceptibles de contenir des liens dangereux, non généralement liés à l’activité professionnelle de la société (maisons de jeux ou cryptomonnaies, par exemple).

En outre, les employés devront suivre des conseils de cybersécurité de base pour les recherches sur le Web et les emails, comme ne jamais ouvrir les liens inconnus, ou savoir identifier les liens potentiellement suspects.