DNSChanger - Malware που στοχεύει τους δρομολογητές σας μέσω του προγράμματος περιήγησης ιστού
Το κακόβουλο λογισμικό που στοχεύει τους υπολογιστές είναι μάλλον κοινό αλλά κακόβουλο λογισμικό που στοχεύει δρομολογητές είναι εντελώς διαφορετικό πράγμα. Ερευνητές από την εταιρεία ασφαλείας Proofpoint έχουν ανακαλύψει ότι ο τρόπος λειτουργίας τους είναι παρόμοιος με τον πρόσφατα ανακάλυψε κακόβουλο λογισμικό Stegano.
Το κακόβουλο λογισμικό ονομάζεται DNSChanger, και εξαπλώνεται μέσω κακόβουλες διαφημίσεις που εξυπηρετούνται από μεγάλα δίκτυα διαφημίσεων. Αρχικά ο DNSChanger ελέγξτε τη διεύθυνση IP του επισκέπτη για να δείτε αν βρίσκεται εντός της εμβέλειας. Αν η διεύθυνση δεν εμπίπτει στο πεδίο στόχου, DNSChanger θα δημιουργήστε διαφημίσεις κελατείας που είναι καθαρά.
Από την άλλη πλευρά, εάν η διεύθυνση βρίσκεται εντός μιας εμβέλειας, το κακόβουλο λογισμικό θα ήταν δημοσιεύστε μια ψεύτικη διαφήμιση που αποκρύπτει τον κώδικα εκμετάλλευσης στα μεταδεδομένα μιας εικόνας PNG.
Μόλις ο κακόβουλος κώδικας κατορθώσει να εισέλθει στον υπολογιστή του στόχου, αυτό προκαλεί ο στόχος για σύνδεση σε μια σελίδα που φιλοξενεί το DNSChanger. Ο ιστότοπος θα πραγματοποιήσει ακόμη μια σάρωση για να διασφαλίσει ότι η διεύθυνση IP του στόχου βρίσκεται εντός του στοχευόμενου εύρους και, όταν επιβεβαιωθεί, ο ιστότοπος θα προβάλλετε μια δεύτερη εικόνα που περιέχει τον κώδικα εκμετάλλευσης.
Αυτό που συμβαίνει στη συνέχεια εξαρτάται από το μοντέλο του δρομολογητή που δέχεται ο DNSChanger. Αν το δρομολογητή έχει γνωστά εκμεταλλεύματα, το DNSChanger θα χρησιμοποιήστε αυτά τα εκμεταλλεύματα για να τροποποιήσετε τις καταχωρήσεις DNS στο δρομολογητή. Οταν είναι δυνατόν, καθιστούν διαθέσιμες τις θύρες διαχείρισης από εξωτερικές διευθύνσεις.
Εάν ο δρομολογητής έχει καμία γνωστή εκμετάλλευση, Ο DNSChanger θα επιχειρούσε χρησιμοποιήστε τα προεπιλεγμένα διαπιστευτήρια για να αποκτήσετε πρόσβαση στο δρομολογητή. Εάν ο δρομολογητής έχει καμία γνωστή εκμετάλλευση και κανένα γνωστό κωδικό πρόσβασης, το κακόβουλο λογισμικό θα μπορούσε τότε εγκαταλείψει την επίθεση.
Υποθέτοντας ότι κατορθώνει να αποκτήσει πρόσβαση στο δρομολογητή, ο DNSChanger είναι σε θέση να αναγκάσει τους συνδεδεμένους υπολογιστές να συνδεθούν σε τοποθεσίες απατεώνων που είναι οπτικά πανομοιότυπα με την πραγματική.
Το Proofpoint ανακάλυψε ότι το κακόβουλο λογισμικό φαίνεται να είναι παραποίηση διευθύνσεων IP ώστε να εκτροπή της επισκεψιμότητας από τις υπηρεσίες διαφημίσεων υπέρ διαδικτυακών δικτύων γνωστών ως Fogzy και TrafficBroker.
Επί του παρόντος, η Proofpoint ανέφερε ότι είναι αδύνατο να ονομάσουμε όλους τους δρομολογητές που είναι ευαίσθητοι στο DNSChanger. Ωστόσο, η Proofpoint ενημέρωσε τα πέντε μοντέλα δρομολογητών που μπορούν να διακυβευτούν από αυτό το συγκεκριμένο κακόβουλο λογισμικό.
Προκειμένου να προστατευθείτε από το DNSChanger, το Proofpoint το έχει συστήσει οι δρομολογητές σας ενημερώνονται στο τελευταίο διαθέσιμο υλικολογισμικό και είναι προστατεύονται με μακρύς, τυχαία παραγόμενο κωδικό πρόσβασης. Επιπροσθέτως, απενεργοποίηση απομακρυσμένης διαχείρισης και αλλάζοντας την προεπιλεγμένη τοπική διεύθυνση IP του δρομολογητή είναι ένα αποτελεσματικό προληπτικό μέτρο.