Que sont les domaines malveillants nouvellement enregistrés ?
La pandémie de Covid-19 a représenté un terrain d’opportunités pour une poignée de secteurs, mais aussi, et surtout, pour les cybercriminels. Aujourd’hui monnaie courante, le vol d’identifiants et l’extraction de données passent par un procédé des plus simples impliquant la création de domaines malveillants nouvellement enregistrés (NRD).
Les noms de domaine sont un peu les panneaux de signalisation d’Internet. Ils redirigent les utilisateurs vers les biens et services qu’ils recherchent pour faciliter leur navigation. Pour les entreprises et les organisations, ces noms de domaines constituent un asset extrêmement précieux.
Des milliers de domaines nouvellement enregistrés sont créés chaque jour ; nombre d’entre eux à des fins légitimes, comme le lancement d’un nouveau produit, d’un nouveau site ou d’une nouvelle marque. Mais la grande majorité de ces domaines ont de quoi éveiller les soupçons, et souvent à raison.
Les attaques de phishing évoluent
Les NRD sont des domaines enregistrés ou ayant changé de propriétaire au cours des 32 derniers jours. Souvent, les attaquants créent des NRD malveillants différant légèrement de domaines de marques légitimes pour piéger les internautes. Nombre de ces domaines ne restent pas longtemps actifs, ce qui complique leur détection. Le domaine soroog[.]xyz, enregistré pour la première fois le 29 mai 2019 en est un exemple. Bien que son existence ait pris fin moins d’un mois après, à la date du 27 juin, ce domaine malveillant a servi dans d’innombrables attaques.
Une menace bien établie
Les NRD malveillants font partie de l’arsenal des cybercriminels depuis de nombreuses années déjà. Dès les premiers mois de la pandémie, avec ses confinements successifs, nous avons observé une hausse des NRD malveillants liés au Covid. Cela n’a rien d’étonnant. L’enregistrement d’un nouveau nom de domaine est simple et rapide, et ne requiert aucune compétence spécifique. Et avec un peu de temps devant soi, on peut y intégrer du code malveillant sans trop de difficultés.
Côté entreprises, la plupart des systèmes de sécurité ne signalent pas les nouveaux domaines, laissant ainsi aux cybercriminels tout le loisir de lancer leurs attaques pendant que ces domaines restent actifs. D’où l’importance capitale d’une détection rapide et de mesures de sécurité préventives.
À quoi servent les NRD malveillants ?
Les NRD malveillants peuvent servir à exfiltrer des données sensibles, y compris des informations associées à des portefeuilles et à des cartes de paiement. Ils se retrouvent principalement dans les attaques suivantes :
- Attaques de phishing: généralement communiqués par e-mail, les domaines ressemblant à des domaines familiers et réputés incitent les utilisateurs peu méfiants à cliquer sur leurs liens. Par exemple, le domaine canada-neflxt[.]com était un site de phishing actif qui tentait de voler des identifiants et des informations de facturation Netflix.
- Commande et contrôle (C2): le domaine soroog[.]xyz a utilisé un malware pour lancer une attaque C2 le jour-même de sa création. Ce malware contacte généralement le serveur de l’attaquant en attente de nouvelles commandes à exécuter ou pour y exfiltrer des données.
- Diffusion de malwares: ces malwares prennent la forme de virus, de vers et de chevaux de Troie. La diffusion initiale se fait traditionnellement par le biais d’une attaque de phishing ou d’une compromission de site web.
L’importance d’une détection rapide
Les NRD malveillants sont difficiles à repérer. Pour garantir sa sécurité, l’entreprise doit doter son réseau de moyens de détection fiables et rapides. Dans l’idéal, le système de sécurité doit pouvoir détecter et signaler les NRD, et doit être suffisamment intelligent pour prédire leurs intentions malveillantes. Le système peut ensuite bloquer les domaines malveillants et alerter l’équipe de sécurité qui lancera l’investigation et déterminera la procédure à suivre selon les politiques de l’entreprise.
Découvrezcomment DNS Security de Palo Alto Networks vous protège des NRD malveillants.
Et pour aller plus loin, consultez l’article de Unit 42® « Comment les attaquants détournent les domaines nouvellement enregistrés »(en anglais).