Geekly articles weekly

A campanha de publicidade maliciosa não define um alvo no navegador ou no computador, mas no roteador

imagem

Os desenvolvedores de malware estão procurando maneiras sempre novas de infectar computadores. O objetivo é roubo de dados, criptografia de arquivos com demanda de resgate, demonstração de publicidade de terceiros, clicando sobre o que gera dinheiro para os cibercriminosos. Recentemente, especialistas em segurança da informação da Proofpoint descobriram exatamente esse software. E, em vez de um navegador ou sistema operacional, ele infecta roteadores. Chamado o novo DNSChanger EK.

O esquema de trabalho dos cibercriminosos é relativamente simples . Eles compram anúncios em sites populares e incorporam um script neste anúncio que usa a solicitação WebRTC para o servidor Mozilla STUN. O objetivo é determinar o IP local do usuário que visitou o site com banners de publicidade infectados.

Se o endereço público já é conhecido ou não está dentro da faixa de objetivos, o usuário recebe um banner regular de uma rede de publicidade de terceiros. Se você precisar agir (ou seja, se a rede fornecer o roteador), nesse caso, o JavaScript vinculado ao anúncio pegará o código HTML no campo de comentário da imagem PNG e abrirá a página de destino DNSChanger EK.


Anúncios falsos que redirecionam a solicitação de um usuário para o servidor de um invasor

A partir deste momento, a exploração já começa a funcionar. Se o roteador do usuário estiver vulnerável (isso é determinado automaticamente), um arquivo de imagem com a chave de criptografia AES incorporada usando esteganografia é enviado ao navegador. A chave permite que o script nos anúncios "envenenados" decodifique o tráfego que o PC da vítima recebe da exploração. Ao mesmo tempo, todas as operações cibercriminosas são criptografadas para não mostrar os detalhes do processo aos especialistas em segurança da informação.

Depois que a vítima recebe a chave, a exploração envia uma lista de "impressões digitais" dos roteadores. Agora na lista, de acordo com especialistas, já existem mais de 166 "impressões". O script colocado no anúncio analisa o roteador usado pela vítima e envia o resultado do teste ao servidor de exploração. Se o sistema do usuário estiver definido como vulnerável, um ataque ao dispositivo começará usando um conjunto específico de ferramentas de hackers ou um conjunto de senha / login padrão para cada modelo de dispositivo específico.

Tudo isso é feito para alterar as configurações de DNS do roteador da vítima, a fim de configurar o redirecionamento de tráfego através do servidor do invasor. A operação em si ocorre em segundos, essa é apenas uma descrição do processo em si parece longo. Se as configurações do roteador permitirem, os invasores abrem portas de controle para conexão externa, a fim de controlar os dispositivos infectados diretamente. Os pesquisadores dizem que observaram como os invasores descobriram portas de controle para 36 roteadores de 166 dispositivos na lista.


Esquema de ataque de exploração do DNSChanger

Caso o ataque seja bem-sucedido, a publicidade em redes como AdSupply, OutBrain, Popcash, Propellerads, Taboola no navegador do usuário altera as inserções de anúncios dos atacantes. Além disso, agora os anúncios são exibidos mesmo em sites onde não existem.

Vale ressaltar que o DNSChanger visa atacar usuários com o navegador Chrome e não com o Internet Explorer, como na maioria dos casos. Além disso, os ataques são realizados por atacantes, tanto para desktops quanto para dispositivos móveis. Os anúncios são mostrados em computadores e dispositivos móveis.

Infelizmente, por enquanto, os especialistas em segurança da informação não podem determinar toda a lista de rotadores vulneráveis. Mas sabe-se que inclui modelos de dispositivos de fabricantes como Linksys, Netgear, D-Link, Comtrend, Pirelli e Zyxel. Entre os roteadores vulneráveis, os especialistas da Proofpoint podem nomear esses dispositivos:

  • D-Link DSL-2740R
  • Roteador ADSL COMTREND CT-5367 C01_R12
  • NetGear WNDR3400v3 (e provavelmente todos os outros sistemas da mesma linha)
  • Roteador sem fio ADSL2 / 2 + Pirelli P.DGA4001N
  • Netgear r6200


Análise do tráfego DNSChanger EK passando por um roteador invadido O

curso, o problema não é apenas que a vítima vê os anúncios impostos em seu navegador. O principal é que os invasores conseguem controlar o tráfego do usuário, o que significa que é possível remover dados de um cartão bancário e roubar dados pessoais de outros sites, incluindo redes sociais. Quando um número suficientemente grande de sistemas é infectado, os cibercriminosos poderão formar sua própria botnet.

E é claro que, sob o golpe cair não usuários individuais, e todos os participantes da rede local formada por um roteador comprometido.

O que fazer


Como o ataque é realizado pelo navegador do usuário e os invasores conseguem interceptar o tráfego, simplesmente alterar a senha / login do administrador do roteador ou desativar a interface do administrador pode não ser suficiente.

A única maneira de se sentir seguro é atualizar o firmware do roteador para a versão mais recente, o que provavelmente já inclui proteção contra as ações de explorações do pacote DNSChanger EK.

A equipe do Proofpoint observa que um grande número de anúncios "envenenados" colocados por criminosos cibernéticos são ocultos com a ajuda de bloqueadores. Portanto, os usuários de software que bloqueiam esse tipo de publicidade são menos vulneráveis ​​do que aqueles que não tentam ocultar a publicidade.

Infelizmente, o problema é que os fabricantes de roteadores não são muito ativos no lançamento de atualizações de segurança para seus dispositivos. Se eles respondessem em tempo hábil, os invasores teriam menos sucesso e menos massa.

Source: https://habr.com/ru/post/pt399959/

More articles:


All Articles