DNSChanger - Malware, který cílí vaše směrovače přes internetový prohlížeč
Malware, který cílí na počítače, je spíše běžný, ale malware, který cílí na směrovače jsou úplně jiné věci. Výzkumníci z bezpečnostní firmy Proofpoint zjistili, že způsob, jakým funguje, je obdobný jako v nedávné době objevil Stegano malware.
Tento malware se nazývá DNSChanger, a šíří se přes reklamy s malwarem které obsluhují velké reklamní sítě. Nejprve DNSChanger zkontrolujte IP adresu návštěvníka, zda je v dosahu. Pokud je adresa nespadá do cílového rozsahu, DNSChanger bude nastavit návnada reklamy, které jsou čisté.
Na druhou stranu, pokud adresa spadá do rozsahu, malware by publikovat falešnou reklamu, která v metadatech skrývá kód zneužití obrázku PNG.
Jakmile se škodlivý kód podaří vplížit se do počítače cíle, způsobí to cílové připojení k stránce, která je hostitelem služby DNSChanger. Webové stránky budou provádět další skenování, aby se zajistilo, že adresa IP cíle bude v cílovém rozsahu, a pokud bude potvrzena, web by zobrazí druhý obrázek, který obsahuje kód exploit.
Co se stane dál závisí na modelu routeru, který útočí DNSChanger. Pokud je routeru má známé zneužití, DNSChanger bude využít tyto zneužití k úpravě položek DNS ve směrovači. Pokud to bude možné, zpřístupnit administrační porty z externích adres.
Pokud má směrovač žádné známé zneužití, DNSChanger by se pokusil použít výchozí pověření získat přístup k routeru. Pokud má směrovač žádná známá zneužití a žádná známá hesla, malware by pak opuštění útoku.
Za předpokladu, že se mu podaří získat přístup k routeru, je DNSChanger schopen přinutit připojené počítače k připojení k místům podvodníků které jsou vizuálně shodné se skutečným.
Proofpoint zjistil, že malware se zdá být falšování IP adres v následujících situacích přesměrovat provoz z reklamních agentur ve prospěch reklamních sítí známých jako Fogzy a TrafficBroker.
V tuto chvíli Proofpoint zmínil, že je nemohu pojmenovat všechny routery, které jsou citlivé na DNSChanger. Proofpoint však informoval pět modelů směrovačů, které mohou být tímto konkrétním škodlivým softwarem ohroženy.
Pro ochranu před DNSChanger, Proofpoint doporučil, aby směrovače jsou aktualizovány na nejnovější dostupný firmware a je chráněný s dlouho, náhodně generované heslo. dodatečně, vypnutí vzdálené správy a změna výchozí lokální IP adresy routeru je účinným preventivním opatřením.