🧡 🐮 🙅🏿 恶意广告活动不会在浏览器或计算机上设定目标，而是在路由器上设定目标 🥃 👨‍👩‍👧‍👦 🤙🏿

恶意软件开发人员正在寻找感染计算机的新方法。目标是数据盗窃，按赎金要求对文件加密，演示第三方广告，单击以给网络犯罪分子带来金钱。最近，Proofpoint的信息安全专家发现了这种软件。而不是浏览器或操作系统，它会感染路由器。称为新的DNSChanger EK。

网络罪犯的工作计划相对简单。他们在热门网站上购买广告，并在该广告中嵌入脚本，该脚本使用WebRTC请求发送给Mozilla STUN服务器。目的是确定使用受感染的广告横幅访问该网站的用户的本地IP。

如果公共地址是已知的或不在目标范围内，则向用户显示来自第三方广告网络的常规横幅。如果您需要采取行动（即，如果网络提供了路由器），则在这种情况下，绑定到广告的JavaScript从PNG图像的注释字段中获取HTML代码，然后打开DNSChanger EK登录页面。

伪造的广告会将用户的请求重定向到攻击者的服务器

从这一刻起，漏洞利用已经开始起作用。如果用户的路由器易受攻击（这是自动确定的），则使用隐写术将内置有AES加密密钥的图像文件发送到其浏览器。该密钥使“中毒”广告中的脚本能够解码受害者的PC从漏洞利用中接收的流量。同时，所有网络犯罪操作都经过加密，以免向信息安全专家显示该过程的来龙去脉。

受害者收到密钥后，漏洞利用程序会发送路由器的“指纹”列表。据专家称，现在已经列入清单的“印刷品”已经超过166种。放置在广告中的脚本分析受害者使用的路由器，并将测试结果发送到漏洞利用服务器。如果用户的系统被定义为易受攻击，则针对设备的攻击将开始使用一组特定的黑客工具或每种特定设备型号的一组默认密码/登录集。

完成所有这些操作以更改受害者路由器的DNS设置，以便配置通过攻击者服务器的流量重定向。该操作本身在几秒钟内发生，这仅是该过程本身看起来很长的描述。如果路由器设置允许这样做，攻击者将打开用于外部连接的控制端口，以便直接控制受感染的设备。研究人员说，他们观察到攻击者如何从列表中的166个设备中发现36个路由器的控制端口。

DNSChanger利用攻击方案

如果攻击成功，则用户浏览器中的AdSupply，OutBrain，Popcash，Propellerads和Taboola等网络的广告会更改攻击者的广告。另外，广告现在甚至可以在不存在的网站上展示。

值得注意的是，DNSChanger的目的是通过Chrome浏览器而不是Internet Explorer来攻击用户，大多数情况下，这些攻击不是。此外，攻击者会同时针对台式机和移动设备进行攻击。广告会同时显示在台式机和移动设备上。

不幸的是，目前，信息安全专家无法确定易受攻击者的全部清单。但众所周知，它包括Linksys，Netgear，D-Link，Comtrend，Pirelli和Zyxel等制造商的设备模型。在易受攻击的路由器中，Proofpoint的专家可以命名以下设备：

D-Link DSL-2740R
COMTREND ADSL路由器CT-5367 C01_R12
NetGear WNDR3400v3（以及同一系列中的所有其他系统）
倍耐力ADSL2 / 2 +无线路由器P.DGA4001N
网件r6200

分析通过网络犯罪分子破解的路由器的DNSChanger EK流量

当然，问题不仅在于受害者在浏览器中看到强加的广告。最主要的是，攻击者具有控制用户流量的能力，这意味着可以从银行卡中删除数据并从其他任何站点（包括社交网络）窃取个人数据。当足够数量的系统被感染时，网络犯罪分子将能够形成自己的僵尸网络。

而很明显的是，在打击下回落而不是个人用户，被攻破的路由器形成的本地网络的所有参与者。

怎么办

由于攻击是通过用户的浏览器进行的，并且攻击者能够拦截流量，因此仅更改路由器管理员的密码/登录名或禁用管理员界面可能还不够。

感到安全的唯一方法是将路由器的固件更新到最新版本，这很可能已经包括针对DNSChanger EK软件包中的利用行为的保护。

Proofpoint小组指出，网络犯罪分子放置的大量“中毒”广告是在阻止程序的帮助下隐藏的。因此，阻止此类广告的软件用户比不尝试隐藏广告的用户更不容易受到攻击。

不幸的是，问题在于路由器制造商不太积极地为其设备发布安全更新。如果他们及时做出响应，攻击者的成功率将大大降低，攻击力也将大大降低。

恶意广告活动不会在浏览器或计算机上设定目标，而是在路由器上设定目标

怎么办

More articles: