Un site malveillant, qui ici se fait passer pour PayPal (© BleepingComputer)
Un site malveillant, qui ici se fait passer pour PayPal (© BleepingComputer)

Des pirates utilisent la vieille technique du typosquattage pour piéger les internautes en usurpant de nombreuses marques par le biais de boutiques d'applications et portails de téléchargement malveillants.

Connaissez-vous le typosquattage, ou typosquatting ? Des hackers sont en train de mener une campagne qualifiée de « massive » en utilisant plusieurs dizaines de domaines grâce auxquels ils parviennent à usurper un total de 27 marques, souvent très populaires, pour pousser les utilisateurs à télécharger des logiciels malveillants, aussi bien sur Windows que sur Android.

Une technique basée sur les petites erreurs de frappe

Le typosquattage n'est pas une technique vieille comme l'informatique, mais presque. Elle est d'ailleurs une sorte d'attaque par ingénierie sociale, en ce qu'elle dupe les internautes qui tapent de façon incorrecte une URL directement dans la barre de leur navigateur. Autant dire donc que vous ne risquez pas grand-chose si vous cherchez un site via un moteur de recherche.

Il peut cependant arriver, par mégarde et peut-être plus facilement sur mobile, que vous tapiez par exemple « amazone. fr » au lieu d'« amazon.fr » dans votre barre d'adresse (à différencier donc de la zone de recherche). Ou que vous orthographiez « lequipe.fr » « lepique. fr ». S'il ne s'agit que d'exemples à l'apparence assez grossière basés sur l'échange d'une lettre ou d'un caractère, il faut avoir conscience que ces détournements d'URL sont courants.

Que se passe-t-il alors une fois que vous appuyez sur votre touche/barre/bouton « Entrée » ? Si par malchance vous tombez bien sur le site que vous pensiez légitime, vous pourrez alors tomber sur un site malveillant imitant suffisamment bien le site original, qui ne vous mettra pas la puce à l'oreille puisque vous n'avez pas conscience d'avoir tapé le mauvais nom dans la barre d'adresse.

Le typosquattage joue sur de petites subtilités, puis pousse les utilisateurs à télécharger des logiciels malveillants

C'est ainsi que la société Cyble, dont le rapport a été relayé par BleepingComputer, a livré la liste des domaines imitant des magasins d'applications Android comme Google Play, APKpure, APKCombo mais aussi des portails de téléchargement redirigeant les internautes et mobinautes vers des versions malveillantes de PayPal, Snapchat, TIC Tac ou VidMate. Au total, 27 marques ont jusque-là été usurpées par les cybercriminels. TikTok, Google Wallet, Microsoft Visual Studio, NinjaTrader et les navigateurs Brave et Tor font partie de ceux que nous pourrions citer. 90 sites ont été spécialement créés par les pirates pour tenter de piéger les victimes.

Le site « tocrprojet », le « c » en plus, imite Tor (© BleepingComputer)
Le site « tocrprojet », le « c » en plus, imite Tor (© BleepingComputer)

En incitant les utilisateurs à télécharger les fichiers APK, les pirates les poussent à télécharger divers malwares comme ERMAC, un cheval de Troie bancaire capable de prendre en charge des services et institutions bancaires du monde entier. Dans le cas de cette campagne, ils ciblent les comptes bancaires et portefeuilles de cryptomonnaie de multiples applications.

Ces sites et services imités incitent les utilisateurs à télécharger des logiciels malveillants Windows ou Android, dans le but de voler notamment des clés de récupération de cryptomonnaie. Le domaine « notepads-plus-plus. org » est par exemple utilisé pour tromper les utilisateurs voulant se rendre sur le site officiel de l'éditeur de texte, « notepad-plus-plus.org » (vous aurez noté la petite subtilité entre les deux noms de domaine), justifiant la définition parfaite du typosquattage. Celui-ci permet l'installation du malware voleur d'informations Vidar Stealer, alors gonflé à 700 Mo, afin d'échapper à l'analyse.

Un faux site Notepad++ (© BleepingComputer)

Soyez donc très prudent(e) lorsque vous tapez une URL depuis la barre d'adresse de votre navigateur. D'autant plus que de nombreuses URL passeraient outre la détection de certains navigateurs pourtant censés inclure une protection contre cette technique de typosquattage, comme Google Chrome et Microsoft Edge.