Geekly articles weekly

Die Kampagne für böswillige Werbung setzt kein Ziel im Browser oder auf dem Computer, sondern auf dem Router

Bild

Malware-Entwickler suchen nach immer neuen Wegen, um Computer zu infizieren. Das Ziel ist Datendiebstahl, Verschlüsselung von Dateien mit Lösegeldforderung, Demonstration von Werbung von Drittanbietern, Klicken, um Cyberkriminellen Geld zu bringen. Kürzlich haben Experten für Informationssicherheit von Proofpoint genau diese Software entdeckt. Und anstelle eines Browsers oder Betriebssystems infiziert es Router. Nannte den neuen DNSChanger EK.

Das Arbeitsschema von Cyberkriminellen ist relativ einfach . Sie kaufen Anzeigen auf beliebten Websites und binden ein Skript in diese Anzeige ein, das die WebRTC-Anforderung an den Mozilla STUN-Server verwendet. Ziel ist es, die lokale IP des Benutzers zu ermitteln, der die Website mit infizierten Werbebannern besucht hat.

Wenn die öffentliche Adresse bereits bekannt ist oder nicht im Zielbereich liegt, wird dem Benutzer ein reguläres Banner eines Werbenetzwerks eines Drittanbieters angezeigt. Wenn Sie handeln müssen (dh wenn das Netzwerk den Router bereitstellt), übernimmt in diesem Fall das an die Anzeige gebundene JavaScript den HTML-Code aus dem Kommentarfeld des PNG-Bildes und öffnet die DNSChanger EK-Landingpage.


Gefälschte Anzeigen, die die Anfrage eines Benutzers an den Server eines Angreifers umleiten

Ab diesem Moment beginnt der Exploit bereits zu funktionieren. Wenn der Router des Benutzers anfällig ist (dies wird automatisch ermittelt), wird eine Bilddatei mit dem mithilfe der Steganografie integrierten AES-Verschlüsselungsschlüssel an seinen Browser gesendet. Mit dem Schlüssel kann das Skript in "vergifteten" Anzeigen den Datenverkehr entschlüsseln, den der PC des Opfers vom Exploit erhält. Gleichzeitig werden alle Cyberkriminellen verschlüsselt, um den Spezialisten für Informationssicherheit nicht die Vor- und Nachteile des Prozesses zu zeigen.

Nachdem das Opfer den Schlüssel erhalten hat, sendet der Exploit eine Liste mit „Fingerabdrücken“ von Routern. Experten zufolge stehen jetzt bereits mehr als 166 „Drucke“ auf der Liste. Das in der Anzeige platzierte Skript analysiert den vom Opfer verwendeten Router und sendet das Testergebnis an den Exploit-Server. Wenn das System des Benutzers als anfällig definiert ist, beginnt ein Angriff auf das Gerät mit der Verwendung eines bestimmten Satzes von Hacking-Tools oder eines Satzes von Standardkennwort- / Anmeldesätzen für jedes bestimmte Gerätemodell.

All dies geschieht, um die DNS-Einstellungen des Routers des Opfers zu ändern und die Verkehrsumleitung über den Server des Angreifers zu konfigurieren. Die Operation selbst erfolgt in Sekunden, dies ist nur eine Beschreibung des Prozesses selbst sieht lang aus. Wenn die Router-Einstellungen dies zulassen, öffnen Angreifer Steuerports für externe Verbindungen, um infizierte Geräte direkt zu steuern. Forscher sagten, sie hätten beobachtet, wie Angreifer Kontrollports für 36 Router von 166 Geräten auf der Liste entdeckten.


DNSChanger-Exploit-Angriffsschema

Wenn der Angriff erfolgreich ist, ändert die Werbung für Netzwerke wie AdSupply, OutBrain, Popcash, Propellerads, Taboola im Browser des Benutzers die Anzeigeneinfügungen der Angreifer. Außerdem werden Anzeigen jetzt auch auf Websites geschaltet, auf denen sie nicht vorhanden sind.

Es ist erwähnenswert, dass DNSChanger darauf abzielt, Benutzer mit dem Chrome-Browser anzugreifen , und nicht wie in den meisten Fällen mit dem Internet Explorer. Darüber hinaus werden Angriffe von Angreifern sowohl für Desktops als auch für mobile Geräte ausgeführt. Anzeigen werden sowohl auf Desktops als auch auf Mobilgeräten geschaltet.

Leider können Spezialisten für Informationssicherheit derzeit nicht die gesamte Liste der anfälligen Rotatoren ermitteln. Es ist jedoch bekannt, dass es Gerätemodelle von Herstellern wie Linksys, Netgear, D-Link, Comtrend, Pirelli und Zyxel enthält. Unter den anfälligen Routern können Spezialisten von Proofpoint solche Geräte benennen:

  • D-Link DSL-2740R
  • COMTREND ADSL Router CT-5367 C01_R12
  • NetGear WNDR3400v3 (und wahrscheinlich alle anderen Systeme aus derselben Aufstellung)
  • Pirelli ADSL2 / 2 + WLAN-Router P.DGA4001N
  • Netgear r6200


Analyse des DNSChanger EK-Verkehrs, der durch einen gehackten Router geleitet wird Das

Problem besteht natürlich nicht nur darin, dass das Opfer die auferlegten Anzeigen in seinem Browser sieht. Die Hauptsache ist, dass Angreifer die Möglichkeit erhalten, den Benutzerverkehr zu kontrollieren, was bedeutet, dass es möglich wird, Daten von einer Bankkarte zu entfernen und persönliche Daten von anderen Websites, einschließlich sozialer Netzwerke, zu stehlen. Wenn eine ausreichend große Anzahl von Systemen infiziert ist, können Cyberkriminelle ihr eigenes Botnetz bilden.

Und es ist klar , dass unter dem Schlag fallen nicht einzelne Benutzer, und alle Teilnehmer des lokalen Netzes von einem kompromittierten Router gebildet.

Was zu tun ist?


Da der Angriff über den Browser des Benutzers ausgeführt wird und Angreifer den Datenverkehr abfangen können, reicht es möglicherweise nicht aus, nur das Kennwort / die Anmeldung für den Administrator des Routers zu ändern oder die Administratoroberfläche zu deaktivieren.

Die einzige Möglichkeit, sich sicher zu fühlen, besteht darin, die Firmware des Routers auf die neueste Version zu aktualisieren, die höchstwahrscheinlich bereits einen Schutz gegen Exploits aus dem DNSChanger EK-Paket enthält.

Das Proofpoint-Team stellt fest, dass eine große Anzahl von "vergifteten" Anzeigen, die von Cyberkriminellen geschaltet werden, mithilfe von Blockern versteckt werden. Benutzer von Software, die diese Art von Werbung blockiert, sind daher weniger anfällig als Benutzer, die nicht versuchen, Werbung zu verbergen.

Leider besteht das Problem darin, dass Routerhersteller nicht zu aktiv Sicherheitsupdates für ihre Geräte veröffentlichen. Wenn sie rechtzeitig reagieren würden, wären Angreifer weniger erfolgreich und viel weniger massiv.

Source: https://habr.com/ru/post/de399959/

More articles:


All Articles