En voici les principaux enseignements :
• De décembre 2019 à ce jour, l’Unité 42 a observé l’enregistrement d’un large éventail de domaines malveillants poursuivant des objectifs différents : phishing (hameçonnage), diffusion de malwares, commande et contrôle (C2), logiciels potentiellement indésirables (LPI), arnaques aux fausses factures/abonnements cachés, au faux support technique et aux fausses récompenses et domain parking. Parmi les marques de premier plan concernées figurent Wells Fargo, Amazon (Inde), Samsung, Microsoft, Netflix (Brésil), Walmart, Facebook et Royal Bank of Canada.
• L’Unité 42, qui a également procédé au classement des 20 domaines les plus plagiés en décembre 2019 (voir graphique en pièce jointe), constate que les cybercriminels privilégient les cibles lucratives, comme les moteurs de recherche et les réseaux sociaux, les acteurs financiers, les banques et les sites de commerce électronique, dont les clients font l’objet de tentatives d’hameçonnage et d’escroqueries visant à dérober leurs identifiants et codes d’accès confidentiels ou vider leurs comptes bancaires.

Cybersquatting : les assaillants imitent les domaines de grandes marques, comme Facebook, Apple, Amazon et Netflix, pour abuser et escroquer les consommateurs

Les internautes se fient aux noms de domaine pour rechercher des marques, services, professionnels et sites web particuliers. Les cybercriminels en tirent avantage en déposant des noms similaires à ceux de domaines ou de marques existants, dans l’optique d’induire en erreur les utilisateurs. Cette pratique répréhensible est appelée cybersquatting. Le « squattage » de domaines a pour objet de semer la confusion dans l’esprit des utilisateurs en leur faisant croire que les marques visées (comme Netflix) détiennent ces noms de domaine (netflix-payments[.]com, par exemple) ou encore de profiter des fautes de frappe des internautes (whatsa l pp[.]com pour WhatsApp, par exemple). Bien que le cybersquatting ne soit pas forcément malveillant à l’égard des utilisateurs, il est interdit aux États-Unis, et les domaines squattés sont souvent utilisés pour des attaques ou reformatés à cette fin.

Les équipes de Palo Alto Networks et de son unité de recherches Unit42 ont mis en évidence l’enregistrement de 13 857 noms de domaine usurpés en décembre 2019, soit 450 par jour en moyenne. Il s’avère que 2 595 noms de domaine squattés (18,59 %) sont malveillants, souvent à l’origine de l’injection de malwares ou de l’exécution d’attaques par hameçonnage, et que 5 104 domaines détournés (36,57 %) font courir un risque élevé à leurs visiteurs, prouvant l’existence d’URL malveillantes liées au domaine ou le recours à des services d’hébergement « bulletproof ».

L’Unit42 a également procédé au classement des 20 domaines les plus plagiés en décembre 2019, en taux de malveillance ajusté, ce qui signifie qu’un domaine donne lieu à plusieurs détournements ou que le caractère malveillant de la plupart de ces domaines usurpés est avéré. Le constat est clair : les squatteurs de domaines privilégient les cibles lucratives, comme les moteurs de recherche et les réseaux sociaux, les acteurs financiers, les banques et les sites de commerce électronique, dont les clients font l’objet de tentatives d’hameçonnage et d’escroqueries visant à dérober leurs identifiants et codes d’accès confidentiels ou vider leurs comptes bancaires.

De décembre 2019 à ce jour, l’Unit42 a observé l’enregistrement d’un large éventail de domaines malveillants poursuivant des objectifs différents :
• Phishing - Un domaine assimilé à Wells Fargo (secure- wellsfargo [.]org) ciblant ses clients pour leur dérober des informations confidentielles, notamment leurs identifiants de messagerie électronique et informations de carte bancaire. Et aussi un domaine en lien avec Amazon (amazon -india[.]online) tendant un piège aux utilisateurs, et plus spécifiquement les mobinautes en Inde, pour leur dérober leurs authentifiants.
• Injection de malwares - Un domaine voisin de Samsung (samsung eblya iphone [.]com) hébergeant le logiciel malveillant Azorult aux fins de dérober les informations des cartes bancaires des utilisateurs.
• Commande et contrôle (C2) - Des domaines assimilés à Microsoft (microsoft-store-drm-server[.]com et microsoft-sback-server[.]com) tentant d’exécuter des attaques C2 en vue de compromettre un réseau tout entier.
• Arnaques aux fausses factures/abonnements cachés - Plusieurs sites de phishing assimilés à Netflix (tels que netflix brazilcovid[.]com) créés pour voler leurs victimes en leur proposant un abonnement à un produit, comme des pilules amaigrissantes, à un tarif préférentiel. Cependant, si les utilisateurs ne résilient pas l’abonnement à l’issue de la période promotionnelle, ils constateront des prélèvements nettement plus élevés sur leur carte bancaire, entre 50 et 100 $ en règle générale.
• Logiciels potentiellement indésirables (LPI) - Des domaines voisins de Walmart (walrmart 44[.]com) et Samsung (samsung pr0mo[.]online) déployant des logiciels potentiellement undésirables, de type logiciels espions, publiciels ou extensions de navigateur. Ils opèrent généralement des changements à l’insu des utilisateurs, en modifiant par exemple la page par défaut de leur navigateur ou en affichant des publicités intempestives dans ce dernier. À noter que le domaine usurpé Samsung ressemble à un site web d’actualité éducative australien parfaitement légitime.
• Arnaques au faux support technique - Des domaines assimilés à Microsoft (tels que microsoft -alert[.]club) s’efforçant d’effrayer les utilisateurs pour leur soutirer de l’argent en les obligeant à faire appel à un soi-disant support technique.
• Arnaques aux fausses récompenses - Un domaine se rapportant à Facebook (facebook winners2020[.]com) escroquant les utilisateurs avec de prétendues récompenses, comme des produits gratuits ou des sommes d’argent. Pour réclamer leur prix, les utilisateurs doivent consigner sur un formulaire quantité d’informations personnelles : date de naissance, numéro de téléphone, profession et revenus.
• Domain parking - Un domaine voisin de RBC Royal Bank (rby royalbank [.]com) tirant parti d’un service de parking très en vogue, ParkingCrew, pour se rémunérer sur le nombre d’internautes redirigés vers le site parking et cliquant sur les liens sponsorisés.

L’Unit42 a analysé les différentes techniques de cybersquatting, notamment le typosquatting, le combosquatting, le level-squatting, le bitsquatting et l’homoglyphie (homograph-squatting), qui sont toutes définies dans ce blog post et analyse dédiés. Les acteurs malveillants peuvent en effet faire appel à ces techniques pour injecter des malwares ou bien commettre des escroqueries et lancer des campagnes de phishing.

Pour détecter cette technique d’attaque, Palo Alto Networks a mis au point un système automatisé permettant d’isoler l’exécution de campagnes malveillantes à partir de noms de domaine déposés il y a peu ainsi qu’à partir de données du DNS passif (pDNS). Ainsi, il est possible de repérer les domaines malveillants et suspects, qu’ils classent dans les catégories appropriées (hameçonnage, malware, C2 ou grayware). Palo Alto Networks propose des protections adaptées via nombre de ses services de sécurité sur abonnement, notamment URL Filtering et DNS Security .

L’Uniit42 recommande aux entreprises de bloquer et de surveiller étroitement leur trafic, et aux consommateurs de prêter une attention particulière à la saisie des noms de domaine et de s’assurer de la fiabilité de leurs propriétaires avant de consulter un site.