Le 2 août 2017

Les analystes de Doctor Web constatent une croissance de la diffusion de messages de phishing envoyés au nom de l’enregistreur de domaines russe, RU-CENTER (Regional Network Information Center). Dans les deux dernières semaines, deux envois ont été enregistrés. Dans leurs messages, les malfaiteurs proposent aux administrateurs de sites web de placer sur leurs sites un fichier PHP spécialisé, qui va en réalité compromettre les ressources Internet.

Pour l’envoi de ces messages, les cybercriminels utilisent, apparemment, une base de contacts d’administrateurs de domaines enregistrés dans la société RU-CENTER. Sous prétexte de certains changements dans les règles de l’ICANN, les pirates proposent à l'administrateur de domaine de créer dans le répertoire racine du site un fichier PHP ayant un contenu particulier pour "confirmer le droit d'utiliser ce domaine par le destinataire du message". Le message contient le logo de la société RU-CENTER et semble être envoyé par la société.

Le fichier que les criminels proposent d'enregistrer dans le répertoire racine du site contient une commande capable d'exécuter n'importe quel code défini par une variable. Ce code peut être transmis par les cybercriminels au script placé sur le serveur sous forme GET ou comme une requête POST. Doctor Web alerte : si vous acceptez la proposition des malfaiteurs, votre site sera compromis. En cas de réception d'un tel message, ignorez-le. Si vous pensez que le message peut être envoyé par un vrai enregistreur de domaine, veuillez le préciser au support technique de la société en question.