Les cybercriminels s’appuient depuis longtemps sur des sites Web compromis pour héberger des logiciels malveillants à utiliser dans des attaques de téléchargement au volant, mais au moins un gang criminel va encore plus loin : une nouvelle étude montre que les escrocs répandent le Logiciel malveillant Dyre pour une utilisation dans les cybercasses utilisent des routeurs sans fil piratés pour livrer leur logiciel criminel de vol de mot de passe.
Dyré (alias « Dyreza ») est généralement installé par un cheval de Troie téléchargeur qui est signalé par la plupart des outils sous le nom « Upâtre.” Ce dernier est le plus souvent délivré via des e-mails malveillants contenant un lien qui dirige les utilisateurs sans méfiance vers des serveurs hébergeant du javascript malveillant ou une redirection basique vers une charge utile malveillante. Si l’utilisateur clique sur le lien malveillant, il peut servir un faux fichier – comme une facture ou un relevé bancaire – qui, s’il est extrait et ouvert, atteint un serveur de contrôle Upatre pour télécharger Dyre.
Selon un récent rapport approfondi à partir de Symantec, Dyre est un logiciel malveillant hautement développé, capable de détourner les trois principaux navigateurs Web et d’intercepter les sessions bancaires sur Internet afin de récolter les informations d’identification de la victime et de les envoyer aux attaquants. Dyre est souvent utilisé pour télécharger des logiciels malveillants supplémentaires sur l’ordinateur de la victime et, dans de nombreux cas, la machine de la victime est ajoutée à un botnet qui est ensuite utilisé pour envoyer des milliers de spams afin de propager la menace.
Récemment, des chercheurs du Centre des opérations de sécurité Fujitsu à Warrington, au Royaume-Uni, a commencé à suivre Upatre desservi par des centaines de routeurs domestiques compromis, en particulier des routeurs alimentés par MikroTik et AirOS d’Ubiquiti.
« Nous avons vu littéralement des centaines de points d’accès sans fil et de routeurs connectés en relation avec ce botnet, généralement AirOS », a déclaré Brian Campbell, analyste en chef du renseignement sur les menaces chez Fujitsu. « La cohérence dans laquelle le botnet communique avec les routeurs compromis en ce qui concerne à la fois la distribution et la communication nous amène à croire que des vulnérabilités connues sont exploitées dans le micrologiciel, ce qui permet que cela se produise. »
Campbell a déclaré que la raison pour laquelle tant de routeurs semblent être impliqués dans le botnet n’est pas claire. Peut-être que les attaquants exploitent simplement des routeurs avec des informations d’identification par défaut (par exemple, « ubnt » pour le nom d’utilisateur et le mot de passe sur la plupart des routeurs Ubiquiti AirOS). Fujitsu a également découvert qu’un nombre inquiétant de systèmes du botnet avaient le port pour connexions telnet grand ouvert.
En janvier 2015, BreachTrace a annoncé que le botnet utilisait pour attaquer et mettre brièvement hors ligne Xbox de Microsoft et Sony Playstation les réseaux reposaient entièrement sur des routeurs piratés, qui semblaient tous avoir été compromis à distance via telnet.
Que vous utilisiez un routeur d’Ubiquiti ou de tout autre fabricant, si vous n’avez pas modifié les informations d’identification par défaut sur l’appareil, il est temps de vous en occuper. Si vous ne savez pas si vous avez modifié les identifiants administratifs par défaut de votre routeur filaire ou sans fil, vous ne l’avez probablement pas fait. Passez à routerpasswords.com et recherchez la marque et le modèle de votre routeur.
Pour voir si vos informations d’identification sont celles par défaut, vous devrez ouvrir un navigateur et entrer l’adresse numérique de la page d’administration de votre routeur. Pour la plupart des routeurs, ce sera 192.168.1.1 ou 192.168.0.1. Cette page répertorie l’adresse interne par défaut de la plupart des routeurs. Si vous n’avez pas de chance là-bas, voici un tutoriel décent cela devrait aider la plupart des utilisateurs à trouver cette adresse. Et consultez mes outils pour un PC plus sûr pour plus de conseils sur la façon de renforcer la sécurité de votre routeur et de votre navigateur Web.