Fausses alertes DDoS chez l’hébergeur Cloudflare

Fausses alertes DDoS chez l’hébergeur Cloudflare

Des pirates ont mis en place un système de faux messages d’alerte DDoS chez Cloudflare. Ces fausses alertes se présentent comme un message d’alerte DDoS mais avec le but d’envoyer sur la machine de l’utilisateur, le logiciel malveillant NetSupport.

Ces fausses alertes DDoS chez l’hébergeur Cloudflare ont été découvertes par des chercheurs en cybersécurité de Sucuri. D’après eux, l’attaque démarre avec une fausse alerte DDoS et un script JavaScript malveillant qui vise les sites WordPress. L’utilisateur télécharge ainsi, sans le savoir, un cheval de Troie qui offre un accès à distance. Ce cheval de Troie a été constaté par plus d’une dizaine d’éditeurs de solutions de sécurité.

Comment se déroule l’attaque ?

Les sites WordPress qui sont mal protégés exécutent donc le code JavaScript qui affiche un faux message de protection DDoS. Quand l’utilisateur clique sur le bouton de validation, le fichier security_install.iso est envoyé sur l’ordinateur de l’utilisateur victime.

L’utilisateur est invité à lancer ce fichier qui se présente comme étant le logiciel DDOS GUARD. Un code s’affiche, à taper par la victime, et donne le fichier security_install.exe. Ce fichier est un raccourci Windows qui exécute une commande PowerShell. Pendant ce temps là, le logiciel NetSupport a été installé mais l’exécution des scripts malveillants a aussi mis Raccoon Stealer 2.0.

Raccoon Stealer 2.0 est un malware qui récupère les cookies, les mots de passe, les numéros de cartes bancaires, les informations enregistrées dans les navigateurs comme les noms, prénoms, adresses, villes, codes postaux, etc. que les internautes enregistrent généralement pour éviter de les ressaisir dans les formulaires sur les pages internet. Raccoon Stealer 2.0 peut aussi récupérer les données d’une large palette de portefeuilles de crypto-monnaie.

Ce malware ne s’arrête pas là ! Le pirate peut s’en servir pour récupérer des fichiers et faire des copies-écran de ce que fait la victime.

C’est quoi un message de protection DDoS ?

On trouve les alertes DDoS sur les pages web liées aux services WAF/CDN pour vérifier les performances du navigateur et voir que celui qui lit la page est bien un humain, pas un bot ni une attaque DDoS.

D’ordinaire, ces alertes DDoS demandent une validation manuelle à l’utilisateur avant de lui afficher la page finale. Pour l’attaque qui vise Cloudflare, les codes JavaScript malveillants visent les sites WordPress mal protégés sur cette plateforme.

Comment se protéger des faux messages DDoS ?

Les gestionnaires et les responsables de sites internet (webmasters) doivent s’assurer que l’ensemble des fichiers de leur thème WordPress sont à jour. Ils peuvent mettre en place l’authentification à double facteurs, utiliser évidemment des mots de passe forts et mettre en place un pare-feu.

Un système de surveillance pour l’intégrité des fichiers permet de déceler l’injection de code JavaScript malveillant et d’empêcher le site de faire la diffusion d’un logiciel malveillant.

Quant aux utilisateurs, leur navigateur doit être paramétré pour bloquer l’exécution de scripts. Il faut aussi les informer qu’une protection DDoS ne nécessite aucun logiciel à télécharger.

Partager cet article sur