Geekly articles weekly

Kampanye iklan jahat tidak menetapkan target di browser atau di komputer, tetapi di router

gambar

Pengembang malware mencari cara baru untuk menginfeksi komputer. Tujuannya adalah pencurian data, enkripsi file dengan permintaan tebusan, demonstrasi iklan pihak ketiga, mengklik yang membawa uang ke penjahat cyber. Baru-baru ini, pakar keamanan informasi dari Proofpoint menemukan hanya perangkat lunak semacam itu. Dan bukannya browser atau sistem operasi, itu menginfeksi router. Disebut DNSChanger EK baru.

Skema kerja para penjahat cyber relatif sederhana . Mereka membeli iklan di situs populer, dan menyematkan skrip dalam iklan ini yang menggunakan permintaan WebRTC ke server Mozilla STUN. Tujuannya adalah untuk menentukan IP lokal pengguna yang mengunjungi situs dengan spanduk iklan yang terinfeksi.

Jika alamat publik sudah diketahui atau tidak dalam kisaran tujuan, maka pengguna akan ditampilkan spanduk reguler dari jaringan iklan pihak ketiga. Jika Anda perlu bertindak (yaitu, jika jaringan menyediakan router), maka dalam hal ini, JavaScript yang terikat pada iklan mengambil kode HTML dari bidang komentar pada gambar PNG dan membuka halaman arahan DNSChanger EK.


Iklan palsu yang mengarahkan permintaan pengguna ke server penyerang

Sejak saat ini, exploit sudah mulai bekerja. Jika router pengguna rentan (ini ditentukan secara otomatis), file gambar dengan kunci enkripsi AES built-in menggunakan steganografi dikirim ke browser-nya. Kunci tersebut memungkinkan skrip dalam iklan "beracun" untuk memecahkan kode lalu lintas yang diterima PC korban dari eksploitasi. Pada saat yang sama, semua operasi cybercriminal dienkripsi agar tidak menunjukkan seluk beluk proses ke spesialis keamanan informasi.

Setelah korban menerima kunci, exploit mengirimkan daftar "sidik jari" dari router. Sekarang dalam daftar, menurut para ahli, sudah ada lebih dari 166 "cetakan". Script yang ditempatkan di iklan menganalisis router yang digunakan oleh korban dan mengirimkan hasil tes ke server exploit. Jika sistem pengguna didefinisikan sebagai rentan, serangan pada perangkat mulai menggunakan seperangkat alat peretasan tertentu atau set kata sandi / set login default untuk setiap model perangkat tertentu.

Semua ini dilakukan untuk mengubah pengaturan DNS router korban, untuk mengkonfigurasi traffic redirect melalui server penyerang. Operasi itu sendiri berlangsung dalam hitungan detik, ini hanya deskripsi dari proses itu sendiri yang terlihat panjang. Jika pengaturan router memungkinkan ini, penyerang membuka port kontrol untuk koneksi eksternal untuk mengontrol perangkat yang terinfeksi secara langsung. Para peneliti mengatakan mereka mengamati bagaimana penyerang menemukan port kontrol untuk 36 router dari 166 perangkat dalam daftar.


Skema serangan eksploitasi DNSChanger

Jika serangan berhasil, iklan jaringan seperti AdSupply, OutBrain, Popcash, Propellerads, Taboola di browser pengguna mengubah sisipan iklan para penyerang. Plus, iklan sekarang ditampilkan bahkan di situs yang tidak ada.

Perlu dicatat bahwa DNSChanger ditujukan untuk menyerang pengguna dengan browser Chrome, dan bukan Internet Explorer, seperti pada kebanyakan kasus. Selain itu, serangan dilakukan oleh penyerang baik untuk desktop maupun untuk perangkat seluler. Iklan ditampilkan di desktop dan perangkat seluler.

Sayangnya, untuk saat ini, spesialis keamanan informasi tidak dapat menentukan seluruh daftar rotator yang rentan. Tetapi diketahui bahwa itu termasuk model perangkat dari produsen seperti Linksys, Netgear, D-Link, Comtrend, Pirelli, dan Zyxel. Di antara router yang rentan, spesialis dari Proofpoint dapat memberi nama perangkat tersebut:

  • D-Link DSL-2740R
  • COMTREND ADSL Router CT-5367 C01_R12
  • NetGear WNDR3400v3 (dan mungkin semua sistem lain dari jajaran yang sama)
  • Pirelli ADSL2 / 2 + Router Nirkabel P.DGA4001N
  • Netgear r6200


Analisis lalu lintas DNSChanger EK yang melewati router yang dipecahkan oleh penjahat dunia maya

Tentu saja, masalahnya bukan hanya bahwa korban melihat iklan yang dikenakan di browsernya. Hal utama adalah bahwa penyerang mendapatkan kemampuan untuk mengontrol lalu lintas pengguna, yang berarti memungkinkan untuk menghapus data dari kartu bank dan mencuri data pribadi dari situs lain, termasuk jaringan sosial. Ketika sejumlah besar sistem terinfeksi, penjahat cyber akan dapat membentuk botnet mereka sendiri.

Dan jelas bahwa, di bawah pukulan jatuh tidak pengguna individu, dan semua peserta dari jaringan lokal dibentuk oleh router dikompromikan.

Apa yang harus dilakukan


Karena serangan dilakukan melalui browser pengguna, dan penyerang dapat mencegat lalu lintas, cukup mengubah kata sandi / login untuk administrator router atau menonaktifkan antarmuka administrator mungkin tidak cukup.

Satu-satunya cara untuk merasa aman adalah dengan memperbarui firmware router ke versi terbaru, yang kemungkinan besar sudah mencakup perlindungan terhadap tindakan eksploit dari paket DNSChanger EK.

Tim Proofpoint mencatat bahwa sejumlah besar iklan "beracun" yang ditempatkan oleh penjahat cyber disembunyikan dengan bantuan pemblokir. Jadi pengguna perangkat lunak yang memblokir iklan jenis ini kurang rentan dibandingkan dengan pengguna yang tidak mencoba menyembunyikan iklan.

Sayangnya, masalahnya adalah produsen router tidak terlalu aktif dalam merilis pembaruan keamanan untuk perangkat mereka. Jika mereka merespons secara tepat waktu, penyerang akan kurang berhasil dan jauh lebih masif.

Source: https://habr.com/ru/post/id399959/

More articles:


All Articles