DNSChanger - Phần mềm độc hại nhắm mục tiêu bộ định tuyến của bạn thông qua trình duyệt web
Phần mềm độc hại nhắm vào máy tính khá phổ biến nhưng phần mềm độc hại nhắm mục tiêu bộ định tuyến là một điều hoàn toàn khác. Các nhà nghiên cứu từ công ty bảo mật Proofpoint đã phát hiện ra rằng cách nó hoạt động tương tự như gần đây phát hiện ra phần mềm độc hại Stegano.
Phần mềm độc hại được gọi là DNSChanger, và nó lây lan qua quảng cáo có phần mềm độc hại được phục vụ bởi các mạng quảng cáo lớn. DNSChanger sẽ đầu tiên kiểm tra địa chỉ IP của khách truy cập để xem nó có nằm trong phạm vi không. Nếu địa chỉ không nằm trong phạm vi mục tiêu, DNSChanger sẽ thiết lập quảng cáo decoy sạch.
Mặt khác, nếu địa chỉ nằm trong phạm vi, phần mềm độc hại sẽ xuất bản một quảng cáo giả mạo che giấu mã khai thác trong siêu dữ liệu của một hình ảnh PNG.
Khi mã độc quản lý để lẻn vào PC của mục tiêu, nó sẽ gây ra mục tiêu kết nối với trang lưu trữ DNSChanger. Trang web sẽ tiến hành một lần quét khác để đảm bảo rằng địa chỉ IP của mục tiêu nằm trong phạm vi được nhắm mục tiêu và khi được xác nhận, trang web sẽ hiển thị hình ảnh thứ hai chứa mã khai thác.
Điều gì xảy ra tiếp theo phụ thuộc vào mô hình bộ định tuyến mà DNSChanger đang tấn công. Nếu mô hình bộ định tuyến đã biết khai thác, DNSChanger sẽ sử dụng các khai thác này để sửa đổi các mục DNS trong bộ định tuyến. Khi có thể, làm cho các cổng quản trị có sẵn từ các địa chỉ bên ngoài.
Nếu bộ định tuyến có không biết khai thác, DNSChanger sẽ cố gắng sử dụng thông tin đăng nhập mặc định để có quyền truy cập vào bộ định tuyến. Nếu bộ định tuyến có không khai thác và không biết mật khẩu, phần mềm độc hại sau đó sẽ từ bỏ cuộc tấn công.
Giả sử nó quản lý để có quyền truy cập vào bộ định tuyến, DNSChanger có thể buộc các máy tính được kết nối để kết nối với các trang web mạo danh giống hệt như thật.
Proofpoint đã phát hiện ra rằng phần mềm độc hại dường như là làm sai lệch địa chỉ IP để mà chuyển hướng lưu lượng truy cập từ các cơ quan quảng cáo ủng hộ các mạng quảng cáo được gọi là Fogzy và TrafficBroker.
Hiện tại, Proofpoint đã đề cập rằng nó là không thể đặt tên cho tất cả các bộ định tuyến dễ bị DNSChanger. Tuy nhiên, Proofpoint đã thông báo cho năm mô hình bộ định tuyến có thể bị xâm phạm bởi phần mềm độc hại cụ thể này.
Để bảo vệ bạn khỏi DNSChanger, Proofpoint đã khuyến nghị rằng bộ định tuyến của bạn được cập nhật lên firmware mới nhất hiện có và là được bảo vệ với một Dài, mật khẩu được tạo ngẫu nhiên. Ngoài ra, vô hiệu hóa quản trị từ xa và thay đổi địa chỉ IP cục bộ mặc định của bộ định tuyến là một biện pháp phòng ngừa hiệu quả.