NordVPN : attention, de faux sites propagent un cheval de Troie bancaire

Sécurité

Par le

Le fournisseur de VPN NordVPN a été la cible d’une vaste campagne d’usurpation de site, visant à propager un cheval de Troie capable de voler les coordonnées bancaires des victimes.

Le clonage de site web est l’une des techniques favorites des pirates informatiques. Pour piéger des internautes, ils copient un site web connu auquel ils intègrent du code malveillant pour voler toute information que l’utilisateur renseigne. Les sites les plus ciblés par ce genre de pratique sont souvent des sites bien connus, car il faut que l’utilisateur le reconnaisse et ait assez confiance pour fournir ses données personnelles sans se douter de quoi que ce soit. Il existe différents types de sites et services qui font des cibles privilégiées pour ces pirates. Parmi eux, les sites proposant des Virtual Private Network, ces réseaux virtuels qui permettent une navigation plus confidentielle, sont devenus des cibles de choix, notamment les plus populaires d’entre eux.

NordVPN visé pour sa visibilité

C’est le cas du fournisseur NordVPN. Celui-ci bénéficie d’une certaine visibilité grâce à une publicité extrêmement agressive depuis un certain temps. Une popularité qui a fait des envieux, ou en tout cas donné des idées à certains petits malins. Un groupe de pirates s’est donc servi du fait que le nom “NordVPN” soit relativement connu pour appâter des milliers d’internautes sur des copies clonées, et infectées par un cheval de Troie bancaire nommé Win32.Bolik.2 repéré par DrWeb. Ces faux sites installent non seulement la véritable application NordVPN pour ne pas éveiller les soupçons, mais également une backdoor, une porte dérobée sur le système qui offre à son auteur un accès potentiellement total à la machine. Le pirate peut ainsi dérober des données sensibles comme des coordonnées bancaires en deux temps, trois mouvements, alors que la victime souhaitait simplement se protéger.

D’après 01Net, il ne s’agirait pas du seul fournisseur de VPN visé par ces pratiques. De nombreux logiciels de gestion utilisés en entreprise (et donc dans des environnements professionnels potentiellement très sensibles) comme Clip Plus ou Invoice 360 seraient aussi concernés. Malheureusement, dans de nombreux cas de ce type, votre antivirus ne pourra rien pour vous et c’est souvent à l’humain derrière le clavier qu’incombe la lourde tâche de protéger ses données. Il faut pour cela systématiquement vérifier l’URL du site. Par exemple, il arrive souvent que les pirates recopient l’adresse d’origine, mais changent juste le domaine de premier niveau (par exemple .club à la place de .com).

Source: 01net