Previous Story
Un pirate enregistre des domaines au nom d’Airbus ou de l’Université de Grenoble
ZATAZ a repéré de nombreux enregistrements de noms de domaine pirates appartenant à de grandes entreprises françaises. Est-ce qu’un hacker se prépare à une série d’infiltrations de grande ampleur ?
Depuis quelques jours, ZATAZ a repéré des enregistrements de noms de domaine pour le moins bizarre. Par exemple, le nom de domaine aux couleurs du géant de l’aéronautique Airbus [france-airbus*fr) enregistré chez Realtime Register B.V. Même intrigante action pour l’université de Grenoble [grenoble-alpes-univ*fr]. En janvier je vous alertais déjà de l’enregistrement de nombreuses adresses aux noms d’universités et grandes écoles françaises. Cas plus rare, il y a une dizaine de jours, Le Monde était concerné par une fausse url, le quotidien Le Républicain Lorrain se retrouve avec une adresse web usurpatrice [fr-le-republicain-lorrain*fr – enregistré chez LWS]. A noter, la création d’un domaine au nom du centre hospitalier Gray (CH-Gray*fr chez Hosting Concepts B.V.). La vraie adresse est GH70.fr. La fausse a été enregistrée par un mystérieux « restaurant le Tire bouchon ». Les trois dernières mystérieuses adresses détectées par ZATAZ visent un faux espace numérique au nom du Ministère des Finances [ministeredesfinancesparis*fr] ; un spécialiste de la cybersécurité, l’entreprise Stormshield [fr-stormshield*fr] et les Ressources Humaines (RH) de Disney [rh-disneystore*fr].
Les diffusions pirates sont massives depuis quelques jours (mails et SMS). Les faux liens [partie blanche] détectés par ZATAZ ne sont pas tous activés, pour le moment, par les malveillants. Prudence ! #news #alerte @zataz
#zataz #Netflix #phishing pic.twitter.com/GVYzk9SX1X— Damien Bancal "o/" (@Damien_Bancal) March 1, 2023
Pourquoi ces domaines ?
Nous pourrions d’abord penser à l’exploitation de marques ayant pour mission d’attirer les clics vers des espaces publicitaires. Seulement, ne soyons pas dupe. La grande majorité des noms de domaines usurpateurs, comme ceux que j’ai présenté dans des alertes sur Twitter (Netflix et Disney), sont avant tout mis en place à des fins d’hameçonnages d’identifiants de connexion (Login et mot de passe) et d’un certain nombre de données personnelles, allant de l’identité, l’adresse physique, l’e-mail ou encore le numéro de téléphone.
Des données qui pourront servir dans d’autres cyber malveillances dans un futur plus ou moins proche.
L’explosion des tentatives de vol de comptes de chaînes de streaming s’explique par la revente de ces accès piratés via des blackmarkets spécialisés. Un exemple de boutique pirate, dans ma capture écran, ci-dessous.
