Les pirates peuvent se cacher à la vue de tous sur votre site Web préféré
Les chercheurs en sécurité ont détaillé comment l'observation de domaine devient de plus en plus populaire pour les cybercriminels.
Comme le rapporte Bleeping Computer , les analystes de Palo Alto Networks (Unité 42) ont révélé comment ils ont rencontré plus de 12 000 incidents de ce type sur une période de trois mois seulement (avril à juin 2022).
Dérivé du piratage DNS , l'observation de domaine offre la possibilité de créer des sous-domaines malveillants en infiltrant des domaines légitimes. En tant que tels, les domaines masqués n'auront aucun impact sur le domaine parent, ce qui les rend naturellement difficiles à détecter.
Les cybercriminels peuvent ensuite utiliser ces sous-domaines à leur avantage à diverses fins, notamment le phishing, la distribution de logiciels malveillants et les opérations de commande et de contrôle (C2).
"Nous concluons de ces résultats que l'observation de domaine est une menace active pour l'entreprise, et il est difficile de la détecter sans tirer parti d'algorithmes d'apprentissage automatique capables d'analyser de grandes quantités de journaux DNS", a déclaré l'unité 42.
Une fois l'accès obtenu par les acteurs de la menace, ils pourraient choisir de violer le domaine principal lui-même et ses propriétaires, ainsi que les utilisateurs cibles de ce site Web. Cependant, ils ont réussi à attirer des individus via les sous-domaines à la place, en plus du fait que les attaquants restent non détectés beaucoup plus longtemps en s'appuyant sur cette méthode.
En raison de la nature subtile de l'observation de domaine, l'unité 42 a mentionné à quel point la détection d'incidents réels et de domaines compromis est difficile.
En fait, la plateforme VirusTotal n'a identifié que 200 domaines malveillants sur les 12 197 domaines mentionnés dans le rapport. La majorité de ces cas sont liés à une campagne de phishing individuelle qui utilise un réseau de 649 domaines masqués via 16 sites Web compromis.
La campagne de phishing a révélé comment les sous-domaines susmentionnés affichaient de fausses pages de connexion ou redirigeaient les utilisateurs vers des pages de phishing, qui peuvent essentiellement contourner les filtres de sécurité des e-mails.
Lorsque le sous-domaine est visité par un utilisateur, des informations d'identification sont demandées pour un compte Microsoft. Même si l'URL elle-même ne provient pas d'une source officielle, les outils de sécurité Internet ne sont pas capables de faire la différence entre une page de connexion légitime et fausse car aucun avertissement n'est présenté.
L'un des cas documentés par le rapport a montré comment une société de formation basée en Australie a confirmé qu'elle avait été piratée pour ses utilisateurs, mais que les dégâts avaient déjà été causés par les sous-domaines. Une barre de progression pour le processus de reconstruction a été présentée sur son site Web.
Actuellement, le "modèle d'apprentissage automatique de haute précision" de l'unité 42 a découvert des centaines de domaines cachés créés quotidiennement. Dans cet esprit, vérifiez toujours l'URL de tout site Web qui vous demande des données, même si l'adresse est hébergée sur un domaine de confiance.