DNSChanger - Malware som målretter ruterne dine gjennom nettleseren
Malware som retter seg mot datamaskiner er ganske vanlig, men malware som retter seg mot rutere er en helt annen ting. Forskere fra sikkerhetsfirmaet Proofpoint har oppdaget at måten den opererer på, ligner på det siste oppdaget Stegano malware.
Malware kalles DNSChanger, og det sprer seg via malware-laced annonser som serveres av store annonsenettverk. DNSChanger vil først sjekk besøkerens IP-adresse for å se om den er innenfor rekkevidde. Hvis adressen faller ikke innenfor målområdet, DNSChanger vil sette opp decoy annonser som er rene.
På den annen side, hvis adressen faller innenfor et område, ville malware være publiser en falsk annonse som gjemmer utnyttet kode i metadataene av et PNG-bilde.
Når den ondsinnede koden klarer å snike seg inn i målets PC, forårsaker det målet for å koble til en side som er vert for DNSChanger. Nettstedet vil gjennomføre en ny skanning for å sikre at målets IP-adresse ligger innenfor målområdet, og når det er bekreftet, ville nettstedet vis et annet bilde som inneholder utnyttelseskoden.
Hva skjer neste, avhenger av rutermodellen som DNSChanger angriper. Hvis rutermodell har kjent utnytter, vil DNSChanger Utnytt disse utnyttelsene for å endre DNS-oppføringene i ruteren. Når mulig, gjør administrasjonsportene tilgjengelige fra eksterne adresser.
Hvis ruteren har ingen kjente utnytter, DNSChanger ville forsøke å Bruk standard legitimasjon for å få tilgang til ruteren. Hvis ruteren har ingen kjente utnytter og ingen kjente passord, malware ville da overgi angrepet.
Forutsatt at den klarer å få tilgang til ruteren, er DNSChanger i stand til tvinge tilkoblede datamaskiner til å koble til impostor nettsteder som er visuelt identiske med den virkelige.
Proofpoint har funnet ut at malware ser ut til å være forfalskende IP-adresser for å avlede trafikk fra annonsebyråer til fordel for annonsenettverk kjent som Fogzy og TrafficBroker.
For øyeblikket har Proofpoint nevnt at det er umulig å nevne alle rutere som er mottakelige for DNSChanger. Imidlertid informerte Proofpoint de fem rutermodellene som kan kompromitteres av denne skadelige programvaren.
For å beskytte deg mot DNSChanger, har Proofpoint anbefalt det ruterne dine er oppdatert til den nyeste tilgjengelige firmware og er beskyttet med en lang, tilfeldig generert passord. Dess, deaktiverer ekstern administrasjon og endrer ruterenens standard lokale IP-adresse er et effektivt forebyggende tiltak.