Les DNS de routeurs D-Link et Linksys piratés

Bitdefender a découvert une attaque visant des routeurs domestiques permettant de changer leurs paramètres DNS et rediriger les utilisateurs vers des sites malveillants. Les modèles des constructeurs D-Link et Linksys sont notamment concernés.

Dans un récent billet de blog, Bitdefender a alerté sur une attaque ciblant les utilisateurs de routeurs domestiques et visant à changer leurs paramètres DNS. Objectif : rediriger les victimes vers des sites malveillants pour voler des données personnelles tel que des identifiants ou mots de passe. « Ce qui est intéressant à propos de l'attaque, c'est qu'elle stocke des charges utiles malveillantes à l'aide de Bitbucket, le service d'hébergement de référentiel de contrôle de version basé sur le Web. Pour s'assurer que la victime ne soupçonne pas un acte criminel, les attaquants abusent également de TinyURL, le service Web de raccourcissement d'URL populaire, pour masquer le lien vers la charge utile Bitbucket », a prévenu Liviu Arsene, analyste senior cybersécurité chez l'éditeur Bitdefender.

Pour réaliser leurs actions malveillantes, les pirates sont parvenus à réaliser des attaques par force brute sur certains routeurs de Linksys mais également D-Link selon Bleepingcomputer. En parvenant à changer les paramètres DNS liés aux adressages IP, les pirates sont en mesure d'effectuer des requêtes vers des sites dont ils ont le contrôle. Les sites usurpés « aws.amazon.com », « goo.gl », « bit.ly », « washington.edu », « imageshack.us », « ufl.edu », « disney.com », « cox.net », « xhamster.com », « pubads.g.doubleclick.net », « idd.ly », « redditblog.com », « fiddler2.com » et « winimage.com ». « Lorsque vous tentez d'atteindre l'un des domaines ci-dessus, les utilisateurs sont en fait redirigés vers une adresse IP, 176.113.81.159, 193.178.169.148, 95.216.164.181, qui affiche un message prétendument de l'Organisation mondiale de la santé, indiquant aux utilisateurs de télécharger et d'installer une application qui offre des instructions et des informations sur Covid-19 », explique Liviu Arsene. Une fois redirigé vers le site malveillant, un pop-up s'ouvre invitant l'utilisateur distrait à ouvrir un fichier douteux de type runset.EXE qui s'avère être évidemment piégé.

Près de 1 200 utilisateurs piégés

Au cours des derniers jours, Bitdefender estime à 1 193 personnes le nombre de victimes potentielles, mais ce nombre pourrait en fait s'avérer bien plus important, 4 répertoires Bitbucket ayant été décelés par l'éditeur. « Nous estimons que le nombre de victimes devrait augmenter dans les semaines à venir, en particulier si les attaquants ont mis en place d'autres référentiels, qu'ils soient hébergés sur Bitbucket ou d'autres services d'hébergement de référentiels de code, car la pandémie de coronavirus reste un sujet brûlant ». Pour éviter les mauvaises surprises, outre une vigilance de tous les instants, Bitdefender recommande en plus de modifier les informations d'identification des paramètres de configuration du routeur, de modifier leurs informations d'identification des comptes cloud liés aux routeurs, ou tout compte de gestion à distance pour leurs routeurs, afin d'éviter toute prise de contrôle via force brute ou attaque par bourrage d'identifiants.