Un groupe de cybercriminalité russophone a été observé combinant de puissants logiciels malveillants de vol d’informations avec des domaines typosquattés pour voler (s’ouvre dans un nouvel onglet) données de connexion aux sites bancaires. La campagne a été repérée par les experts en cybersécurité Hold Security et rapportée par KrebsOnSecurity.
Selon le rapport, le groupe connu sous le nom de The Disneyland Team cible les personnes infectées par un puissant logiciel malveillant bancaire appelé Gozi 2.0 (AKA Ursnif), qui peut voler des données informatiques, collecter des identifiants d’utilisateur et des informations financières, et déployer des logiciels malveillants supplémentaires.
Mais Gozi seul ne suffira plus, car les fabricants de navigateurs ont introduit diverses mesures de sécurité au fil des ans pour l’annuler. Mais c’est là qu’intervient le typequatting – la création de sites Web de phishing avec des noms de domaine qui sont des fautes d’orthographe courantes de sites légitimes.
Aider Gozi
Selon KrebsOnSecurity : « Au cours des années passées, des escrocs comme ceux-ci utilisaient des « injections Web » sur mesure pour manipuler ce que les victimes de Gozi voient dans leur navigateur Web lorsqu’elles visitent le site de leur banque.
Ceux-ci pourraient alors « copier et/ou intercepter toutes les données que les utilisateurs entreraient dans un formulaire Web, comme un nom d’utilisateur et un mot de passe. Cependant, la plupart des fabricants de navigateurs Web ont passé des années à ajouter des protections de sécurité pour bloquer ces activités néfastes ».
Ainsi, pour utiliser Gozi, les attaquants ont également ajouté de faux sites bancaires sur des domaines typosquattés. Des exemples de tels domaines incluent ushank[.]com (ciblant les personnes qui orthographient mal usbank.com) ou ạmeriprisẹ[.]com (ciblant les personnes visitant ameriprise.com).
Vous remarquerez de petits points sous les lettres a et e, et si vous pensiez qu’il s’agissait de poussières sur votre écran, vous ne seriez pas le premier à tomber dans le piège. Ce ne sont pas des spécifications, cependant, mais plutôt des lettres cyrilliques que le navigateur rend en latin.
Ainsi, lorsque la victime visite ces faux sites Web bancaires, ils sont recouverts par le logiciel malveillant, qui transmet tout ce que la victime saisit au site Web de la banque réelle, tout en gardant une copie pour elle-même.
De cette façon, lorsque le vrai site Web de la banque revient avec une demande d’authentification multi-facteurs (MFA), le faux site Web la demandera également, rendant ainsi le MFA inutile.
Via : KrebsOnSecurity (s’ouvre dans un nouvel onglet)