♉️ 🔵 🚺 दुर्भावनापूर्ण विज्ञापन का अभियान ब्राउज़र या कंप्यूटर पर, लेकिन राउटर पर कोई लक्ष्य निर्धारित नहीं करता है 🐪 🧙🏿 🆓

मैलवेयर डेवलपर कंप्यूटर को संक्रमित करने के लिए कभी नए तरीके खोज रहे हैं। लक्ष्य डेटा चोरी है, फिरौती मांग के साथ फाइलों का एन्क्रिप्शन, तीसरे पक्ष के विज्ञापन का प्रदर्शन, जिस पर क्लिक करने से साइबर अपराधियों को पैसा मिलता है। हाल ही में, Proofpoint के सूचना सुरक्षा विशेषज्ञों ने ऐसे ही सॉफ़्टवेयर की खोज की। और एक ब्राउज़र या ऑपरेटिंग सिस्टम के बजाय, यह राउटर को संक्रमित करता है। जिसे नया DNSChanger EK कहा जाता है।

साइबर अपराधियों के काम की योजना अपेक्षाकृत सरल है । वे लोकप्रिय साइटों पर विज्ञापन खरीदते हैं, और इस विज्ञापन में एक स्क्रिप्ट एम्बेड करते हैं जो WebRTC अनुरोध को मोज़िला STUN सर्वर का उपयोग करता है। लक्ष्य उपयोगकर्ता के स्थानीय आईपी को निर्धारित करना है जो संक्रमित विज्ञापन बैनर के साथ साइट पर गए थे।

यदि सार्वजनिक पता पहले से ही ज्ञात है या लक्ष्यों की सीमा में नहीं है, तो उपयोगकर्ता को तृतीय-पक्ष विज्ञापन नेटवर्क से एक नियमित बैनर दिखाया जाता है। यदि आपको कार्य करने की आवश्यकता है (यदि नेटवर्क राउटर प्रदान करता है), तो इस स्थिति में, विज्ञापन के लिए बाध्य जावास्क्रिप्ट PNG छवि के टिप्पणी क्षेत्र से HTML कोड लेता है और DNSChanger EK लैंडिंग पृष्ठ खोलता है।

नकली विज्ञापन है कि एक हमलावर के सर्वर के लिए उपयोगकर्ता के अनुरोध को पुनर्निर्देशित करता है

इस क्षण से, शोषण पहले से ही काम करना शुरू कर देता है। यदि उपयोगकर्ता का राउटर असुरक्षित है (यह स्वचालित रूप से निर्धारित किया जाता है), एईएस एन्क्रिप्शन कुंजी के साथ एक छवि फ़ाइल जो स्टेग्नोग्राफ़ी का उपयोग करके अंतर्निहित ब्राउज़र में भेजी जाती है। कुंजी "ज़हर" विज्ञापनों में स्क्रिप्ट को ट्रैफ़िक को डिकोड करने की अनुमति देती है जो पीड़ित के पीसी को शोषण से प्राप्त करता है। एक ही समय में, सभी साइबर क्राइम ऑपरेशनों को एन्क्रिप्ट किया जाता है ताकि सुरक्षा विशेषज्ञों को सूचना देने के लिए इस प्रक्रिया की जानकारी न दिखाई जाए।

पीड़ित को कुंजी प्राप्त होने के बाद, शोषण राउटर्स के "फ़िंगरप्रिंट्स" की एक सूची भेजता है। अब सूची में, विशेषज्ञों के अनुसार, पहले से ही 166 से अधिक "प्रिंट" हैं। विज्ञापन में रखी गई स्क्रिप्ट पीड़ित द्वारा उपयोग किए गए राउटर का विश्लेषण करती है और परीक्षा परिणाम को शोषण सर्वर को भेजती है। यदि उपयोगकर्ता प्रणाली को कमजोर के रूप में परिभाषित किया गया है, तो डिवाइस पर एक हमला हैकिंग टूल के विशिष्ट सेट या प्रत्येक विशिष्ट डिवाइस मॉडल के लिए डिफ़ॉल्ट पासवर्ड / लॉगिन सेट के सेट का उपयोग करना शुरू कर देता है।

यह सब पीड़ित के राउटर की DNS सेटिंग्स को बदलने के लिए किया जाता है, ताकि हमलावर के सर्वर के माध्यम से ट्रैफ़िक पुनर्निर्देशित किया जा सके। ऑपरेशन स्वयं सेकंडों में होता है, यह केवल उस प्रक्रिया का विवरण है जो स्वयं लंबी लगती है। यदि राउटर सेटिंग्स इसकी अनुमति देती हैं, तो हमलावर सीधे संक्रमित डिवाइस को नियंत्रित करने के लिए बाहरी कनेक्शन के लिए नियंत्रण पोर्ट खोलते हैं। शोधकर्ताओं का कहना है कि उन्होंने देखा कि कैसे हमलावरों ने सूची में 166 उपकरणों से 36 राउटर के लिए नियंत्रण बंदरगाहों की खोज की।

DNSChanger शोषण हमला योजना

यदि हमला सफल होता है, तो उपयोगकर्ता के ब्राउज़र में AdSupply, OutBrain, Popcash, Propellerads, Taboola जैसे नेटवर्क के विज्ञापन हमलावरों के विज्ञापन आवेषण को बदल देते हैं। इसके अलावा, विज्ञापन अब उन साइटों पर भी दिखाई दे रहे हैं जहाँ यह मौजूद नहीं है।

यह ध्यान देने योग्य है कि DNSChanger का उद्देश्य क्रोम ब्राउज़र वाले उपयोगकर्ताओं पर हमला करना है, और अधिकांश मामलों में इंटरनेट एक्सप्लोरर नहीं। इसके अलावा, हमलों को डेस्कटॉप और मोबाइल उपकरणों दोनों के लिए हमलावरों द्वारा किया जाता है। विज्ञापन डेस्कटॉप और मोबाइल डिवाइस दोनों पर दिखाए जाते हैं।

दुर्भाग्य से, अब के लिए, सूचना सुरक्षा विशेषज्ञ कमजोर रोटेटरों की पूरी सूची का निर्धारण नहीं कर सकते हैं। लेकिन यह ज्ञात है कि इसमें Linksys, Netgear, D-Link, Comtrend, Pirelli और Zyxel जैसे निर्माताओं के डिवाइस मॉडल शामिल हैं। कमजोर राउटर्स में, प्रूफपॉइंट के विशेषज्ञ ऐसे उपकरणों को नाम दे सकते हैं:

डी-लिंक डीएसएल -2740 आर
COMTREND ADSL राउटर CT-5367 C01_R12
NetGear WNDR3400v3 (और शायद एक ही लाइनअप से अन्य सभी सिस्टम)
पिरेली ADSL2 / 2 + वायरलेस रूटर P.DGA4001N
नेटगियर r6200

DNSChanger EK ट्रैफ़िक का विश्लेषण एक हैक किए गए राउटर से गुजर रहा है।

बेशक, समस्या केवल यह नहीं है कि पीड़ित अपने ब्राउज़र में लगाए गए विज्ञापनों को देखता है। मुख्य बात यह है कि हमलावर उपयोगकर्ता ट्रैफ़िक को नियंत्रित करने की क्षमता प्राप्त करते हैं, जिसका अर्थ है कि बैंक कार्ड से डेटा निकालना और किसी अन्य साइट से व्यक्तिगत डेटा चोरी करना संभव हो जाता है, जिसमें सोशल नेटवर्क भी शामिल है। जब पर्याप्त संख्या में सिस्टम संक्रमित होते हैं, तो साइबर क्रिमिनल अपना बॉटनेट बनाने में सक्षम होंगे।

और यह स्पष्ट है कि, झटका तहत गिर व्यक्तिगत उपयोगकर्ताओं नहीं है, और स्थानीय एक समझौता रूटर द्वारा गठित नेटवर्क के सभी प्रतिभागियों।

क्या करें?

चूंकि हमला उपयोगकर्ता के ब्राउज़र के माध्यम से किया जाता है, और हमलावर ट्रैफ़िक को बाधित करने में सक्षम होते हैं , बस राउटर के व्यवस्थापक के लिए पासवर्ड / लॉगिन बदलना या व्यवस्थापक इंटरफ़ेस को अक्षम करना पर्याप्त नहीं हो सकता है।

सुरक्षित महसूस करने का एकमात्र तरीका राउटर के फर्मवेयर को नवीनतम संस्करण में अपडेट करना है, जिसमें सबसे अधिक संभावना पहले से ही DNSChanger EK पैकेज से कारनामों के खिलाफ सुरक्षा शामिल है।

प्रूफपॉइंट टीम ने ध्यान दिया कि साइबर अपराधियों द्वारा बड़ी संख्या में "ज़हर" वाले विज्ञापन ब्लॉकर्स की मदद से छिपे हुए हैं। तो इस प्रकार के विज्ञापन को रोकने वाले सॉफ़्टवेयर के उपयोगकर्ता उन उपयोगकर्ताओं की तुलना में कम असुरक्षित होते हैं जो विज्ञापन को छिपाने की कोशिश नहीं करते हैं।

दुर्भाग्य से, समस्या यह है कि राउटर निर्माता अपने उपकरणों के लिए सुरक्षा अपडेट जारी करने में बहुत सक्रिय नहीं हैं। यदि वे समय पर ढंग से जवाब देते हैं, तो हमलावर कम सफल होंगे और बहुत कम बड़े पैमाने पर।

दुर्भावनापूर्ण विज्ञापन का अभियान ब्राउज़र या कंप्यूटर पर, लेकिन राउटर पर कोई लक्ष्य निर्धारित नहीं करता है

क्या करें?

More articles: