Les cybercriminels ont repris plus de 240 sous-domaines de sites Web appartenant à certaines des plus grandes marques et organisations du monde dans le but de rediriger les utilisateurs vers des logiciels malveillants, du contenu pour adultes, des jeux en ligne et d'autres contenus inattendus.
Tel que rapporté par Le registre, les organisations dont les sous-domaines ont été détournés sont Chevron, la Croix-Rouge, l'UNESCO, 3M, Arm, Warner Brothers, Honeywell, Toshiba, Xerox, NHS, Volvo, Siemens et d'autres.
Le problème n'est pas que les sites Web de ces entreprises et organisations ont été détournés mais que leurs Les entrées DNS l'ont été, en raison de la façon dont elles étaient hébergées dans le cloud Azure de Microsoft.
Cela a été un problème constant pour les sites hébergés par Azure et en mars de cette année, Microsoft a accidentellement permis à des centaines de ses propres sous-domaines de tomber entre les mains de spammeurs qui ont utilisé leur réputation pour essayer de se classer plus haut dans les résultats de recherche.
Sommaire
Sous-domaines piratés
La liste des sous-domaines piratés partagés avec Le registre a été créé par le chercheur américain en sécurité Zach Edwards qui a signalé les URL à Microsoft ainsi qu'aux organisations concernées fin juin.
Selon Edwards, un grand nombre des sous-domaines de sa liste semblent avoir été repris par un seul groupe qui opère depuis des années. Il a fourni des informations supplémentaires sur sa découverte au média, déclarant:
"Ils sont utilisés par un groupe criminel international qui fait beaucoup de choses avec eux. Certaines pages redirigent vers des logiciels malveillants, certaines redirigent vers du porno ou des casinos ou d'autres clients potentiels qui les paient pour des liens entrants, d'autres directement vers des extensions Chrome malveillantes ou des logiciels piratés. C'est clairement automatisé: ils ont frappé des tonnes d'organisations et téléchargé des tonnes de logiciels malveillants. J'ai averti un tas d'organisations que leur plus grande crainte devrait être ce groupe hérité en partenariat avec un autre groupe qui est plus destructeur. "
Le groupe essaie souvent de cacher sa présence après avoir détourné un sous-domaine en faisant apparaître l'URL racine comme une erreur 404 ou même un «message à venir». Edwards dit qu'environ 20% des sous-domaines de sa liste ont été fermés et que Microsoft ainsi que les organisations affectées sont probablement en train de travailler dur pour arrêter le reste.
Via le registre
