🔴 LE BLACK FRIDAY EN DIRECT ! 🔴 LE BLACK FRIDAY EN DIRECT !

Attention à ces faux sites ! Google Play, APKPure, PayPal, VidMate... 27 marques usurpées pour vous installer des malwares

24 octobre 2022 à 10h45
7
paypal imitation
Un site malveillant, qui ici se fait passer pour PayPal (© BleepingComputer)

Des pirates utilisent la vieille technique du typosquattage pour piéger les internautes en usurpant de nombreuses marques par le biais de boutiques d'applications et portails de téléchargement malveillants.

Connaissez-vous le typosquattage, ou typosquatting ? Des hackers sont en train de mener une campagne qualifiée de « massive » en utilisant plusieurs dizaines de domaines grâce auxquels ils parviennent à usurper un total de 27 marques, souvent très populaires, pour pousser les utilisateurs à télécharger des logiciels malveillants, aussi bien sur Windows que sur Android.

Une technique basée sur les petites erreurs de frappe

Le typosquattage n'est pas une technique vieille comme l'informatique, mais presque. Elle est d'ailleurs une sorte d'attaque par ingénierie sociale, en ce qu'elle dupe les internautes qui tapent de façon incorrecte une URL directement dans la barre de leur navigateur. Autant dire donc que vous ne risquez pas grand-chose si vous cherchez un site via un moteur de recherche.

Il peut cependant arriver, par mégarde et peut-être plus facilement sur mobile, que vous tapiez par exemple « amazone. fr » au lieu d'« amazon.fr » dans votre barre d'adresse (à différencier donc de la zone de recherche). Ou que vous orthographiez « lequipe.fr » « lepique. fr ». S'il ne s'agit que d'exemples à l'apparence assez grossière basés sur l'échange d'une lettre ou d'un caractère, il faut avoir conscience que ces détournements d'URL sont courants.

Que se passe-t-il alors une fois que vous appuyez sur votre touche/barre/bouton « Entrée » ? Si par malchance vous tombez bien sur le site que vous pensiez légitime, vous pourrez alors tomber sur un site malveillant imitant suffisamment bien le site original, qui ne vous mettra pas la puce à l'oreille puisque vous n'avez pas conscience d'avoir tapé le mauvais nom dans la barre d'adresse.

Le typosquattage joue sur de petites subtilités, puis pousse les utilisateurs à télécharger des logiciels malveillants

C'est ainsi que la société Cyble, dont le rapport a été relayé par BleepingComputer, a livré la liste des domaines imitant des magasins d'applications Android comme Google Play, APKpure, APKCombo mais aussi des portails de téléchargement redirigeant les internautes et mobinautes vers des versions malveillantes de PayPal, Snapchat, TIC Tac ou VidMate. Au total, 27 marques ont jusque-là été usurpées par les cybercriminels. TikTok, Google Wallet, Microsoft Visual Studio, NinjaTrader et les navigateurs Brave et Tor font partie de ceux que nous pourrions citer. 90 sites ont été spécialement créés par les pirates pour tenter de piéger les victimes.

tor imitation
Le site « tocrprojet », le « c » en plus, imite Tor (© BleepingComputer)

En incitant les utilisateurs à télécharger les fichiers APK, les pirates les poussent à télécharger divers malwares comme ERMAC, un cheval de Troie bancaire capable de prendre en charge des services et institutions bancaires du monde entier. Dans le cas de cette campagne, ils ciblent les comptes bancaires et portefeuilles de cryptomonnaie de multiples applications.

Ces sites et services imités incitent les utilisateurs à télécharger des logiciels malveillants Windows ou Android, dans le but de voler notamment des clés de récupération de cryptomonnaie. Le domaine « notepads-plus-plus. org » est par exemple utilisé pour tromper les utilisateurs voulant se rendre sur le site officiel de l'éditeur de texte, « notepad-plus-plus.org » (vous aurez noté la petite subtilité entre les deux noms de domaine), justifiant la définition parfaite du typosquattage. Celui-ci permet l'installation du malware voleur d'informations Vidar Stealer, alors gonflé à 700 Mo, afin d'échapper à l'analyse.

notepad imitation
Un faux site Notepad++ (© BleepingComputer)

Soyez donc très prudent(e) lorsque vous tapez une URL depuis la barre d'adresse de votre navigateur. D'autant plus que de nombreuses URL passeraient outre la détection de certains navigateurs pourtant censés inclure une protection contre cette technique de typosquattage, comme Google Chrome et Microsoft Edge.

Source : BleepingComputer

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
7
7
octokitty
Les serveurs DNS des opérateurs internet et mobile, quitte à être « menteurs », devraient protéger l’utilisateur de ce genre de typosquattage.
Baxter_X
Oui sauf qu’en réalité c’est très difficile à mettre en place. Les possibilités d’usurpation sont très grandes. Donc tu ne peux pas tout prévoir.
Bondamanmanw
« En incitant les utilisateurs à télécharger les fichiers APK »<br /> Déjà que le Playstore a déjà son lot d’applications vérolés, faut aller les chercher ces malwares.<br /> Faut pas se plaindre ensuite.
phil995511
Il faudrait des peines exemplaires de prison pour freiner le piratage de nos données personnelles…
Kriz4liD
Tu ne peux pas car tu n as pas les droits de bloquer un dns sans décision de justice ou autre !<br /> Imagine je suis un activiste et que j essaye de communiquer sur mon site , tu bloques ou pas du coup ??
octokitty
Sans parler même de politique ou de justice, il peut être difficile de déterminer si une marque déposée ou non fait objet d’usurpation.<br /> microsoftwindow (point) com peut être facilement racheté par MS pour des raisons de sécurité et d’image de marque. On ne peut pas en dire autant pour de plus petits projets comme notepads-plus-plus (cf l’actu), qui imite en plus le site original et fait télécharger un payload avec un chargement par javascript. Goggle (.com) a tardivement été sous contrôle par Google, par ailleurs.<br /> Les robots peuvent intercepter éventuellement le comportement de sites et les identifier comme plagiat et malveillant (mais ça reste une course entre le chat et la souris, j’ai déjà vu des scripts malveillants sur des sites qui se désactivent lorsque google bot ou certaines IP accèdent à la page)<br /> Les services communautaires tels que WOT sont limités, manipulables, et qui peuvent nuire à la vie privée si le service est racheté par une entité questionnable.
BernardB
Ouai bizard ?<br /> Quand je fait une faute de frappe dans la barre d’adresse, un message s’affiche tel que, Vérifier l’orthographe, site non accessible ou inexistant !<br /> Avec aussi bien le Renard1 ou chante claire2.<br /> *1, bestiole rusé, *2 ballerine 9ém.
Voir tous les messages sur le forum

Derniers actualités

Attention, cette extension Chrome veut voler votre portefeuille crypto ET vos mots de passes
Black Friday Amazon et Cdiscount : les 50 bons plans encore disponibles !
Est-ce l'avenir ? Cette maison a été imprimée en 3D et assemblée en une demi-journée
Quand l'app de billetterie de la Coupe du monde crashe... et laisse les spectateurs hors du stade
Black Friday Apple : économisez 100€ sur le dernier iPad Air et sa puce M1
3 bonnes raisons de s’équiper du VPN CyberGhost durant le Black Friday
Mettez votre casque de pilote, Star Wars: Squadrons est actuellement gratuit !
Voici les dernières offres du Black Friday chez Amazon 🔥
Dernier jour du Black Friday et ce pack Nintendo Switch + Mario Kart 8 est à prix canon !
Black Friday : dernières heures pour le stockage en ligne pCloud à prix cassé
Haut de page