DNSChanger - Malware die uw routers via de webbrowser target

Malware die op computers is gericht, is vrij gewoon, maar malware die op routers is gericht, is iets heel anders. Onderzoekers van beveiligingsbedrijf Proofpoint hebben ontdekt dat de manier waarop het werkt vergelijkbaar is met de recent ontdekte Stegano-malware .

De malware wordt DNSChanger genoemd en verspreidt zich via advertenties met malware die worden bediend door grote advertentienetwerken. DNSChanger controleert eerst het IP-adres van de bezoeker om te zien of dit binnen het bereik valt . Als het adres niet binnen het doelbereik valt, zal DNSChanger lokvideosites opstellen die schoon zijn .

Aan de andere kant, als het adres binnen een bereik valt, publiceert de malware een nepadvertentie die exploitcode verbergt in de metagegevens van een PNG-afbeelding.

Zodra de schadelijke code erin slaagt zich een weg te banen in de pc van het doelwit, zorgt het ervoor dat het doel verbinding maakt met een pagina die DNSChanger host . De website voert nog een scan uit om ervoor te zorgen dat het IP-adres van het doel binnen het doelbereik valt en wanneer het wordt bevestigd, zou de site een tweede afbeelding met de exploitcode weergeven .

Wat er vervolgens gebeurt, is afhankelijk van het routermodel dat DNSChanger aanvalt. Als het routermodel bekende exploits heeft, gebruikt DNSChanger deze exploits om de DNS-invoer in de router te wijzigen. Maak indien mogelijk beheerpoorten beschikbaar vanaf externe adressen .

Als de router geen bekende exploits heeft, probeert DNSChanger standaard inloggegevens te gebruiken om toegang te krijgen tot de router. Als de router geen bekende exploits en geen bekende wachtwoorden kent, zou de malware de aanval verlaten .

Ervan uitgaande dat het erin slaagt toegang te krijgen tot de router, kan DNSChanger geforceerde computers dwingen om verbinding te maken met bedriegersites die visueel identiek zijn aan de echte.

Proofpoint is erachter gekomen dat de malware IP-adressen lijkt te vervalsen om verkeer van reclamebureaus af te leiden ten gunste van advertentienetwerken die Fogzy en TrafficBroker worden genoemd.

Op dit moment heeft Proofpoint gezegd dat het onmogelijk is om alle routers te noemen die gevoelig zijn voor DNSChanger . Proofpoint heeft echter de vijf routermodellen geïnformeerd die door deze specifieke malware kunnen worden aangetast.

Om uzelf tegen DNSChanger te beschermen, heeft Proofpoint aanbevolen dat uw routers worden bijgewerkt naar de nieuwste beschikbare firmware en wordt beschermd met een lang, willekeurig gegenereerd wachtwoord . Bovendien is het uitschakelen van extern beheer en het wijzigen van het standaard lokale IP-adres van de router een effectieve preventieve maatregel.