Główna » Internet » DNSChanger - Złośliwe oprogramowanie, które atakuje routery przez przeglądarkę internetową

    DNSChanger - Złośliwe oprogramowanie, które atakuje routery przez przeglądarkę internetową

    Złośliwe oprogramowanie atakujące komputery jest dość powszechne, ale złośliwe oprogramowanie atakujące routery to zupełnie inna sprawa. Naukowcy z firmy ochroniarskiej Proofpoint odkryli, że sposób, w jaki działa, jest podobny do ostatnio odkrył złośliwe oprogramowanie Stegano.

    Złośliwe oprogramowanie nazywa się DNSChanger, i rozprzestrzenia się za pośrednictwem reklamy ze złośliwym oprogramowaniem które są obsługiwane przez duże sieci reklamowe. Najpierw DNSChanger sprawdź adres IP odwiedzającego, aby sprawdzić, czy znajduje się on w zakresie. Jeśli adres nie mieści się w zakresie docelowym, DNSChanger będzie skonfigurować reklamy wabika, które są czyste.

    Z drugiej strony, jeśli adres mieści się w pewnym zakresie, szkodliwe oprogramowanie będzie opublikuj fałszywą reklamę, która ukrywa kod exploita w metadanych obrazu PNG.

    Gdy złośliwy kod uda się wkraść do komputera docelowego, powoduje to cel, aby połączyć się ze stroną obsługującą DNSChanger. Witryna przeprowadzi jeszcze jedno skanowanie, aby upewnić się, że adres IP celu znajduje się w docelowym zakresie, a gdy zostanie potwierdzony, witryna będzie wyświetlić drugi obraz zawierający kod exploita.

    To, co stanie się później, zależy od modelu routera, który atakuje DNSChanger. Jeśli model routera zna exploity, DNSChanger będzie wykorzystywać te exploity do modyfikowania wpisów DNS w routerze. Kiedy możliwe, udostępnić porty administracyjne z adresów zewnętrznych.

    Jeśli router ma brak znanych exploitów, DNSChanger spróbuje użyj domyślnych poświadczeń aby uzyskać dostęp do routera. Jeśli router ma żadnych znanych exploitów i żadnych znanych haseł, wtedy szkodliwe oprogramowanie będzie porzucić atak.

    Zakładając, że uda mu się uzyskać dostęp do routera, DNSChanger jest w stanie zmusić podłączone komputery do łączenia się z miejscami oszustów które są wizualnie identyczne z rzeczywistym.

    Proofpoint odkrył, że złośliwe oprogramowanie jest fałszowanie adresów IP w celu przekierować ruch z agencji reklamowych na korzyść sieci reklamowych znanych jako Fogzy i TrafficBroker.

    W tej chwili Proofpoint wspomniał o tym niemożliwe do nazwania wszystkich routerów, które są podatne na DNSChanger. Jednak Proofpoint poinformował pięć modeli routerów, które mogą być zagrożone przez to konkretne złośliwe oprogramowanie.

    Aby chronić się przed DNSChanger, polecił to Proofpoint Twoje routery są aktualizowane do najnowszego dostępnego oprogramowania układowego i jest chroniony z długie, losowo wygenerowane hasło. do tego, wyłączanie zdalnej administracji i zmiana domyślnego lokalnego adresu IP routera jest skutecznym środkiem zapobiegawczym.