Des cybercriminels exploitent actuellement les blocages de sites pirates au Royaume-Uni pour diffuser des logiciels malveillants. En imitant la page d’erreur HTTP 451 utilisée par Cloudflare pour signaler un blocage juridique, ils affichent de fausses pages qui ressemblent exactement à celles de Cloudflare, puis chargent en arrière-plan des scripts potentiellement dangereux.
5981b6be-57cc-4e44-9158-b639af8db388-image.png
Hormis quelques caractères supplémentaires inhabituels, le message d’erreur HTTP 451 est similaire aux messages de blocage précédemment publiés par Cloudflare pour les mêmes raisons. Un survol prudent du lien vers la commande dans la base de données Lumen n’a rien révélé d’anormal non plus.
Le fait que l’erreur 451 soit renvoyée via HTTP au lieu de HTTPS est très suspect. Il en va de même pour les domaines douteux auxquels le site tente d’accéder en arrière-plan, et pour ce qui semble être une iframe chargeant un ou plusieurs scripts depuis une source externe. À notre connaissance, les antivirus classiques n’ont pas encore détecté cette anomalie.
URLScan révèle une partie du problème dans son ensemble. URLQuery révèle que la même attaque existe également ailleurs , en lien avec des sites portant des marques similaires.
84f42dff-5f1d-45be-aa78-e0ac9a0922c2-image.png
Cette situation survient alors que Cloudflare a commencé à bloquer de nombreux sites de streaming pirates au Royaume-Uni, à la suite d’ordonnances judiciaires mises à jour en novembre. Plus de 150 domaines ont été ajoutés aux listes de blocage, y compris des marques connues comme Sflix, 123movies, Fmovies ou Soap2Day.
Profitant du désarroi des internautes cherchant des alternatives, les attaquants utilisent un site comme Flixerplus pour afficher une fausse erreur 451, livrée en HTTP (non sécurisé) et accompagnée de comportements suspects : tentatives de connexion à des domaines douteux, iframes avec scripts externes, etc. Les outils d’analyse d’URL confirment qu’il s’agit d’une attaque répliquée sur plusieurs domaines similaires. Les antivirus ne la détectent pas encore.
Les fournisseurs DNS ont commencé à intervenir, mais on ignore encore l’efficacité de ces mesures. Cloudflare, de son côté, n’a pas encore commenté la situation.
Source: https://torrentfreak.com/scammers-mimic-cloudflares-error-451-site-blocking-notice-to-infect-pirates-251211/
Royaume Uni, oui, mais internet n’a pas de frontière…
