Moins connu que les tactiques d’hameçonnage ou d’autres techniques de compromission, le détournement de domaines parqués constitue une menace pour les utilisateurs finaux. Au vu de leur utilité incertaine, il peut être préférable de bloquer les sites parqués.
Parmi les techniques utilisées par les cybermalfaiteurs pour attirer leurs victimes dans des sites piégés, le détournement de domaines parqués est beaucoup moins connu que l’hameçonnage ou la distribution de maliciels. Le parcage de domaines via des fournisseurs de ce service est une technique utilisée par les propriétaires de noms de domaine pour les sites encore en construction. Une pratique courante consiste à tirer parti des services de parking pour monétiser le trafic. Les fournisseurs présentent aux visiteurs une liste d’annonces ou redirigent automatiquement les utilisateurs vers les pages web des annonceurs.
Mais si le parking de domaines peut apparaître comme une activité lucrative inoffensive à première vue, il n’en est rien. Les domaines parqués peuvent représenter des menaces importantes s’ils sont exploités pour des raisons malveillantes. Ils peuvent rediriger les visiteurs vers des destinations malveillantes ou indésirables ou devenir entièrement malveillants à tout moment. Unit42, l’équipe de recherches et de renseignements sur les menaces de Palo Alto Networks, vient de dévoiler les résultats de ses travaux sur les cybermalfaiteurs qui détournent les domaines parqués pour réaliser diverses attaques. La France, comme d’autres pays tels que les États-Unis, Le Royaume-Uni, le Japon, l’Italie, fait partie des cibles.
Des sites inoffensifs détournés
Entre mars et septembre 2020, Unit42 a identifié 5 millions de nouveaux domaines parqués. Dans le même laps de temps, elle a observé que 6 millions de domaines parqués « se sont transformés », après détournement, pour passer dans des catégories à risque. Parmi ces domaines, 1 % avaient basculé dans des catégories malveillantes (distribuant hameçonnage ou maliciels), 2,6 % avaient basculé dans des catégories « not safe for work » (contenus adultes ou jeux de hasard), 30,6 % avaient basculé dans des catégories douteuses ou à haut risque.
Par rapport à un domaine inoffensif (par exemple fournissant des informations informatiques ou Internet ou un site d’achats en ligne), un domaine parqué a huit fois plus de chances de basculer dans l’une des catégories malveillantes ci-dessus. En étudiant ces sites sur une longue durée, les analystes d’Unit4 ont observé en détail l’écosystème du détournement de parcage de domaines et les différents types de détournements.
Le détournement d’enregistrement de domaine
Unit42 a observé le cycle de vie malveillant du domaine valleymedicalandsurgicalclinic.com, qui n’est aujourd’hui plus actif. Il a été utilisé dans le cadre d’une campagne mondiale du maliciel Emotet. Au cours de cette campagne, Palo Alto Networks a pu observer des attaques contre des entreprises de différents secteurs d’activité (par exemple l’éducation, les agences gouvernementales, l’énergie, la fabrication, le BTP, les télécommunications) dans le monde entier, notamment aux États-Unis, au Royaume-Uni, en France, au Japon, en Corée et en Italie. L’attaque ciblant les entreprises françaises avait en outre exploité la pandémie en mentionnant le mot Covid19 dans la ligne objet du courriel d’hameçonnage. Aucune de ces attaques n’a réussi.
Le détournement d’annonces publicitaires
Unit42 a observé le détournement du domaine peoplesvote.uk, en lien avec la prochaine élection présidentielle américaine. Lorsqu’ils visitent peoplesvote.uk, les internautes voient s’afficher une page d’annonce publicitaire la plupart du temps. Cependant, les visiteurs étaient parfois d’abord redirigés vers 0redira.com/jr.php, qui héberge un kit d’exploit, puis ils étaient de nouveau redirigés vers un site web de sondage qui les invitait à indiquer s’ils voteraient pour Joe Biden ou pour Donald Trump. Le kit d’exploit hébergé sur 0redira.com/jr.php enregistre les empreintes numériques du navigateur à l’insu des internautes pour pister l’activité de ces derniers sur le web. Il masque les adresses URL d’arrivée pour empêcher les organismes de sécurité et les chercheurs de les analyser et de les bloquer. Ces pages sont toujours actives à l’heure où l’Unit42 publie cette recherche.
Le détournement de revenus publicitaires
Un autre type de détournement est cette fois spécifiquement Nord-américain et concerne xfinity.com, le site web du FAI du même nom. Le but de ce type de détournement est plus une escroquerie qu’une tentative de compromission via l’injection de code malveillant ou le vol d’informations d’identification. Lorsqu’un internaute tente de visiter le site web Xfinity, mais qu’il tape par erreur un « i » supplémentaire, il est alors dirigé vers xifinity.com puis redirigé vers une page d’accueil détournée, antivirus-protection.com-123.xyz. Ces deux domaines sont toujours actifs à l’heure actuelle. La page d’accueil tente de faire croire aux visiteurs que leur machine est infectée et que leur abonnement à McAfee est arrivé à expiration. Lorsqu’ils cliquent sur le bouton « Proceed », ils sont dirigés vers une page de téléchargement McAfee authentique qui propose un abonnement à un antivirus. Cette redirection détourne le programme d’affiliation de McAfee pour voler les recettes générées par les annonces publicitaires.