😥 🖤 🤢 لا تحدد حملة الإعلانات الخبيثة هدفًا على المتصفح أو على الكمبيوتر ، ولكن على جهاز التوجيه 💇🏼 🎴 🐐

يبحث مطورو البرامج الضارة عن طرق جديدة لإصابة أجهزة الكمبيوتر. الهدف هو سرقة البيانات ، وتشفير الملفات التي تتطلب فدية ، وعرض لإعلانات الطرف الثالث ، والنقر على ما يجلب المال لمجرمي الإنترنت. في الآونة الأخيرة ، اكتشف خبراء أمن المعلومات من Proofpoint مثل هذه البرامج فقط. وبدلاً من المتصفح أو نظام التشغيل ، فإنه يصيب أجهزة التوجيه. دعا DNSChanger EK الجديد.

مخطط عمل المجرمين الإلكترونيين بسيط نسبيًا . يشترون الإعلانات على المواقع الشائعة ، ويدمجون نصًا برمجيًا في هذا الإعلان يستخدم طلب WebRTC إلى خادم Mozilla STUN. الهدف هو تحديد عنوان IP المحلي للمستخدم الذي زار الموقع باستخدام لافتات إعلانية مصابة.

إذا كان العنوان العام معروفًا بالفعل أو ليس في نطاق الأهداف ، فسيتم عرض بانر عادي للمستخدم من شبكة إعلانية تابعة لجهة خارجية. إذا كنت بحاجة إلى التصرف (أي إذا كانت الشبكة توفر جهاز التوجيه) ، ففي هذه الحالة ، تأخذ JavaScript المرتبطة بالإعلان شفرة HTML من حقل التعليق لصورة PNG وتفتح صفحة DNSChanger EK المقصودة.

الإعلانات الزائفة التي تعيد توجيه طلب المستخدم إلى خادم المهاجم

من هذه اللحظة ، يبدأ الاستغلال بالفعل في العمل. إذا كان جهاز توجيه المستخدم ضعيفًا (يتم تحديد ذلك تلقائيًا) ، يتم إرسال ملف صورة مع مفتاح تشفير AES مضمن باستخدام إخفاء المعلومات إلى متصفحه. يسمح المفتاح للنص البرمجي في الإعلانات "المسمومة" بفك تشفير حركة المرور التي يتلقاها جهاز الكمبيوتر الخاص بالضحية من الاستغلال. في الوقت نفسه ، يتم تشفير جميع عمليات الجرائم الإلكترونية حتى لا يتم عرض تفاصيل ومخرجات العملية لمتخصصي أمن المعلومات.

بعد أن يتلقى الضحية المفتاح ، يرسل إكسبلويت قائمة "بصمات" أجهزة التوجيه. الآن على القائمة ، وفقا للخبراء ، هناك بالفعل أكثر من 166 "مطبوعة". يقوم البرنامج النصي الموجود في الإعلان بتحليل جهاز التوجيه الذي يستخدمه الضحية ويرسل نتيجة الاختبار إلى خادم استغلال. إذا تم تعريف نظام المستخدم على أنه ضعيف ، يبدأ الهجوم على الجهاز باستخدام مجموعة محددة من أدوات القرصنة أو مجموعة من مجموعات كلمة المرور / تسجيل الدخول الافتراضية لكل طراز جهاز محدد.

يتم كل ذلك لتغيير إعدادات DNS لجهاز توجيه الضحية ، من أجل تكوين إعادة توجيه حركة المرور عبر خادم المهاجم. تتم العملية نفسها في ثوانٍ ، وهذا مجرد وصف للعملية نفسها تبدو طويلة. إذا سمحت إعدادات الموجه بذلك ، يفتح المهاجمون منافذ التحكم للاتصال الخارجي من أجل التحكم في الأجهزة المصابة مباشرة. يقول الباحثون أنهم لاحظوا كيف اكتشف المهاجمون منافذ التحكم لـ 36 جهاز توجيه من 166 جهازًا في القائمة.

DNSChanger يستغل مخطط الهجوم

إذا نجح الهجوم ، فإن الإعلان عن شبكات مثل AdSupply و OutBrain و Popcash و Propellerads و Taboola في متصفح المستخدم يغير إدخالات الإعلانات للمهاجمين. بالإضافة إلى ذلك ، تظهر الإعلانات الآن حتى على المواقع التي لا توجد فيها.

تجدر الإشارة إلى أن DNSChanger يهدف إلى مهاجمة المستخدمين باستخدام متصفح Chrome ، وليس Internet Explorer ، كما هو الحال في معظم الحالات. علاوة على ذلك ، يتم تنفيذ الهجمات من قبل المهاجمين على حد سواء لأجهزة الكمبيوتر المكتبية والأجهزة المحمولة. يتم عرض الإعلانات على كل من أجهزة الكمبيوتر المكتبية والأجهزة المحمولة.

لسوء الحظ ، في الوقت الحالي ، لا يمكن لمتخصصي أمن المعلومات تحديد القائمة الكاملة للأجهزة الدوارة الضعيفة. ولكن من المعروف أنه يشمل طرازات الأجهزة من الشركات المصنعة مثل Linksys و Netgear و D-Link و Comtrend و Pirelli و Zyxel. من بين أجهزة التوجيه الضعيفة ، يمكن للمتخصصين من Proofpoint تسمية هذه الأجهزة:

D-Link DSL-2740R
COMTREND ADSL Router CT-5367 C01_R12
NetGear WNDR3400v3 (وربما جميع الأنظمة الأخرى من نفس المجموعة)
Pirelli ADSL2 / 2 + راوتر لاسلكي P.DGA4001N
نتغير r6200

تحليل حركة DNSChanger EK التي تمر عبر جهاز توجيه تم اختراقه

بالطبع ، المشكلة ليست فقط أن الضحية يرى الإعلانات المفروضة في متصفحه. الشيء الرئيسي هو أن المهاجمين يكتسبون القدرة على التحكم في حركة مرور المستخدم ، مما يعني أنه أصبح من الممكن إزالة البيانات من بطاقة مصرفية وسرقة البيانات الشخصية من أي مواقع أخرى ، بما في ذلك الشبكات الاجتماعية. عندما يصاب عدد كبير بما فيه الكفاية من الأنظمة ، سيكون مجرمو الإنترنت قادرين على تشكيل الروبوتات الخاصة بهم.

ومن الواضح أنه في ظل ضربة تقع لا مستخدمين الفرديين، وجميع المشاركين في الشبكة المحلية شكلت من قبل جهاز توجيه للخطر.

ماذا تفعل

نظرًا لأن الهجوم يتم من خلال متصفح المستخدم ، وأن المهاجمين قادرون على اعتراض حركة المرور ، فإن تغيير كلمة المرور / تسجيل الدخول لمدير جهاز التوجيه أو تعطيل واجهة المسؤول قد لا يكون كافيًا.

الطريقة الوحيدة للشعور بالأمان هي تحديث البرنامج الثابت لجهاز التوجيه إلى أحدث إصدار ، والذي يتضمن على الأرجح حماية ضد إجراءات الاستغلال من حزمة DNSChanger EK.

يلاحظ فريق Proofpoint أن عددًا كبيرًا من الإعلانات "المسمومة" التي يضعها مجرمو الإنترنت يتم إخفاؤها بمساعدة أدوات الحظر. لذا فإن مستخدمي البرامج التي تحظر هذا النوع من الإعلانات أقل عرضة للخطر من هؤلاء المستخدمين الذين لا يحاولون إخفاء الإعلانات.

لسوء الحظ ، تكمن المشكلة في أن الشركات المصنعة لجهاز التوجيه ليست نشطة للغاية في إصدار تحديثات الأمان لأجهزتها. إذا استجابوا في الوقت المناسب ، فسيكون المهاجمون أقل نجاحًا وأقل ضخامة.

لا تحدد حملة الإعلانات الخبيثة هدفًا على المتصفح أو على الكمبيوتر ، ولكن على جهاز التوجيه

ماذا تفعل

More articles: