Godaddy.com, le plus grand bureau d’enregistrement de noms de domaine au monde, a récemment corrigé une faille d’authentification que les cybercriminels utilisaient pour envoyer des spams via des domaines légitimes et inactifs. Mais plusieurs campagnes de spam de logiciels malveillants plus récentes suggèrent que le correctif de GoDaddy n’est pas allé assez loin et que les escrocs ont probablement encore à leur disposition un arsenal considérable de domaines GoDaddy piratés.
Le 22 janvier, BreachTrace a publié des recherches montrant que les escrocs derrière une série de campagnes massives de spam de sextorsion et d’alerte à la bombe tout au long de 2018 – un adversaire qui a été surnommé « Ours spammé » – a atteint une quantité inhabituelle de livraison dans la boîte de réception en exploitant une faiblesse de GoDaddy qui permettait à quiconque d’ajouter un domaine à son compte GoDaddy sans valider qu’il possédait réellement le domaine.
Spammy Bear ciblait des domaines dormants mais autrement légitimes qui avaient une chose en commun : ils utilisaient tous en même temps l’hébergé de GoDaddy. Système de noms de domaines (DNS). Chercheur Ron Guilmette a découvert que Spammy Bear était capable de détourner des milliers de ces domaines dormants pour le spam simplement en enregistrant des comptes gratuits chez GoDaddy et en disant au service DNS automatisé de l’entreprise d’autoriser l’envoi d’e-mails avec ces domaines à partir d’une adresse Internet contrôlée par les spammeurs.
Très peu de temps après la publication de cette histoire, GoDaddy a déclaré qu’il avait mis en place un correctif pour le problème et avait nettoyé plus de 4 000 noms de domaine utilisés dans les campagnes de spam identifiées dans mon histoire du 22 janvier. Mais le ou vers le 1er février, une nouvelle campagne de spam qui a exploité des domaines piratés de la même manière chez GoDaddy a commencé à être distribuée Crabe de Gandune puissante souche de ransomware.
Comme indiqué dans un post la semaine dernière sur le blog MaSécuritéEnLigne, la campagne Gand Crab a utilisé une variété de leurres, y compris de faux avis d’expédition DHL et de fausses alertes par télécopie AT&T. Les domaines documentés par MyOnlineSecurity ont tous vu leurs enregistrements DNS modifiés entre le 31 janvier et le 1er février pour permettre l’envoi d’e-mails à partir d’adresses Internet liées à deux FAI identifié dans mon rapport original du 22 janvier sur la faiblesse de GoDaddy.
« Ce qui rend ces e-mails chargés de logiciels malveillants beaucoup plus susceptibles d’être livrés, c’est le fait que les domaines d’envoi ont tous une bonne réputation », a observé MyOnlineSecurity. « Il y a des dizaines, voire des centaines de domaines impliqués dans cette campagne particulière. Presque tous les domaines sont enregistrés depuis de nombreuses années, certains depuis plus de 10 ans.

Une recherche « DNS passif » montre les modifications DNS apportées par les spammeurs le 31 janvier pour l’un des domaines utilisés dans la campagne de spam Gand Crab documentée par MyOnlineSecurity. Image : Sécurité Farsight.
Dans une déclaration fournie à BreachTrace, GoDaddy a déclaré que la société était convaincue que les mesures prises pour résoudre le problème fonctionnaient comme prévu et que GoDaddy avait simplement ignoré les domaines abusés lors de la récente campagne de spam GandCrab.
« Les domaines utilisés dans la campagne Gand Crab ont été modifiés auparavant, mais nous les avons manqués lors de notre balayage initial », porte-parole de GoDaddy Dan Course mentionné. « Bien que nous soyons par ailleurs confiants dans les mesures d’atténuation que nous avons prises pour éviter le problème de DNS suspendu, nous nous efforçons d’identifier tout autre domaine qui doit être corrigé. »
« Nous ne pensons pas qu’il soit possible pour une personne de détourner le DNS d’un ou plusieurs domaines en utilisant les mêmes tactiques que celles utilisées dans les campagnes Spammy Bear et Gand Crab », a poursuivi Race. « Cependant, nous évaluons s’il existe d’autres méthodes qui peuvent être utilisées pour obtenir les mêmes résultats, et nous poursuivons notre surveillance normale de la prise de contrôle de compte. Nous avons également mis en place un alias de rapport sur [email protected] pour faciliter le signalement de toute activité suspecte ou de tout détail susceptible de contribuer à nos efforts pour mettre fin à ce type d’abus.
Cette adresse e-mail est susceptible de recevoir pas mal de conseils à court terme. Bulletin de virus éditeur Martijn Grooten cette semaine publie son analyse sur une campagne d’e-mails malveillants du 29 janvier déguisée en avis d’expédition de UPS. Grooten a déclaré que le spam intercepté de cette campagne comprenait des liens vers une adresse Internet qui était auparavant utilisée pour distribuer GandCrab, et qui pratiquement tous les domaines vus envoyer les faux avis UPS utilisé l’une des deux paires de serveurs DNS gérés par GoDaddy.
« La majorité des domaines, dont nous pensons que le DNS a probablement été compromis, pointent toujours vers la même adresse IP », a écrit Grooten. Cette adresse IP héberge actuellement un site Web qui vend des données de cartes de crédit volées.

Le faux message UPS utilisé dans une campagne de spam de malware Gand Crab le 29 janvier. Source : Bulletin de virus.
Grooten a déclaré à BreachTrace qu’il soupçonnait que des criminels avaient réussi à compromettre plusieurs des serveurs DNS hébergés de GoDaddy. D’une part, a-t-il dit, la même paire (parfois deux paires) de serveurs de noms continue d’apparaître dans la même campagne.
« Dans un certain nombre de campagnes, nous avons vu des domaines utilisés qui étaient alphabétiquement proches, [and] il existe d’autres domaines utilisés qui s’étaient éloignés de GoDaddy avant ces campagnes, mais qui étaient toujours utilisés », a déclaré Grooten. « Il est également intéressant de noter que des centaines – voire des milliers – de domaines ont vu leur DNS changé en peu de temps. Une telle chose est difficile à faire si vous devez vous connecter à des comptes individuels.
GoDaddy a déclaré qu’il n’y avait pas eu une telle violation.
« Nos serveurs DNS n’ont pas été compromis », a déclaré Race. « Les exemples fournis étaient des domaines suspendus qui avaient des fichiers de zone créés par l’acteur de la menace avant la mise en œuvre de notre atténuation le 23 janvier. Ces noms de domaine ont été parqués jusqu’à ce que les acteurs de la menace les aient activés. Ils avaient la possibilité de le faire car ils possédaient déjà les fichiers de zone. Nous continuons à examiner les comptes clients pour d’autres entrées de zone potentielles.
Apparu pour la première fois au début de 2018, Gand Crab a été surnommé « le rançongiciel de plusieurs millions de dollars le plus populaire de l’année ». La semaine dernière, BreachTrace a été contacté par une entreprise frappée par Gand Crab fin janvier après qu’un employé a été pris en charge par ce qui semble être la même campagne détaillée par Virus Bulletin.
Prix Charlène est copropriétaire de AS Prix Mécanique, une petite entreprise de fabrication de métaux à Gilbert, en Caroline du Sud. Price a déclaré qu’un employé avait été amené à infecter l’un de ses disques durs avec Gand Crab, qui a chiffré le disque et a exigé 2 000 $ en bitcoins pour une clé nécessaire pour déverrouiller les fichiers.
Alors que Price et son mari consultaient des experts en technologie et débattaient de ce qu’il fallait faire ensuite, les extorqueurs ont doublé la demande de rançon à 4 000 $.
Des sites comme nomoreransom.org distribuent des outils et des didacticiels gratuits qui peuvent aider certaines victimes de ransomware à récupérer leurs fichiers sans payer de demande de rançon, mais ces outils ne fonctionnent souvent qu’avec des versions spécifiques d’une souche particulière de ransomware. Price a déclaré que l’outil nomoreransom.org mis à disposition pour les infections de Gand Crab était incapable de déchiffrer les fichiers sur son disque dur brouillé.
« Ce n’est ni juste ni juste et c’est injuste », a déclaré Price. « Nous avons accepté le fait, pour l’instant, que nous sommes simplement verrouillés sur les informations de notre entreprise. Nous ne savons rien de ce type de problème si ce n’est que nous devons le payer ou tout simplement recommencer.
Mise à jour : 14 h 55 HE : Déclaration ajoutée de GoDaddy.