DNSChanger - Malware, der målretter dine routere gennem webbrowser
Malware, der er målrettet mod computere, er ret almindeligt, men malware, der er målrettet mod routere er en helt anden ting. Forskere fra sikkerhedsfirmaet Proofpoint har opdaget, at den måde, den opererer på, ligner den for nylig opdaget Stegano malware.
Malware kaldes DNSChanger, og det spredes via malware-laced annoncer der serveres af store annoncenetværk. DNSChanger vil først Kontroller den besøgendes IP-adresse for at se om den er inden for rækkevidde. Hvis adressen falder ikke inden for målområdet, DNSChanger vil oprette decoy annoncer, der er rene.
På den anden side, hvis adressen falder inden for en rækkevidde, ville malware'en offentliggøre en falsk annonce, der gemmer udnyttelseskode i metadataene af et PNG-billede.
Når den ondsindede kode klarer at snige sig ind i målets pc, forårsager det målet om at oprette forbindelse til en side, der er vært for DNSChanger. Webstedet foretager endnu en scanning for at sikre, at målets IP-adresse ligger inden for det målrettede område, og når det er bekræftet, ville webstedet Vis et andet billede, der indeholder udnyttelseskoden.
Hvad der sker, afhænger af den router-model, som DNSChanger angriber. Hvis router model har kendt udnyttelser, vil DNSChanger Brug disse udnyttelser til at ændre DNS-indføringerne i routeren. Når det er muligt, Gør administrationsporte tilgængelige fra eksterne adresser.
Hvis routeren har ingen kendte udnyttelser, DNSChanger ville forsøge at Brug standardoplysninger at få adgang til routeren. Hvis routeren har ingen kendte udnyttelser og ingen kendte adgangskoder, malware ville da opgive angrebet.
Forudsat at det er i stand til at få adgang til routeren, er DNSChanger i stand til tvinge tilsluttede computere til at forbinde til bedragerier der er visuelt identiske med den virkelige.
Proofpoint har fundet ud af, at malware ser ud til at være forfalskning af IP-adresser for at omdirigere trafik fra reklamebureauer til fordel for annonce netværk kendt som Fogzy og TrafficBroker.
I øjeblikket har Proofpoint nævnt, at det er umuligt at nævne alle routere, der er modtagelige for DNSChanger. Proofpoint informerede dog de fem router-modeller, der kan blive kompromitteret af denne malware.
For at beskytte dig selv mod DNSChanger har Proofpoint anbefalet det dine routere opdateres til den seneste tilgængelige firmware og er beskyttet med en lang, tilfældigt genereret adgangskode. Derudover, deaktivering af fjernadministration og ændre routers standard lokale IP-adresse er en effektiv forebyggende foranstaltning.