DNSChanger - Malware care vă direcționează routerele prin browserul web
Malware-ul care vizează computerele este destul de comun, dar malware care vizează routerele sunt un lucru complet diferit. Cercetători de la firma de securitate Proofpoint au descoperit că modul în care operează este similar cu cel recent a descoperit malware-ul Stegano.
Se numește malware-ul DNSChanger, și se răspândește prin anunțuri malware-dated care sunt difuzate de rețele mari de anunțuri. DNSChanger va fi primul verificați adresa IP a vizitatorului pentru a vedea dacă se află în intervalul respectiv. În cazul în care adresa nu se încadrează în intervalul țintă, DNSChanger va setați anunțuri de momeală care sunt curate.
Pe de altă parte, dacă adresa se încadrează într-un interval, malware-ul ar fi publicați un anunț fals care ascunde codul de exploatare în metadate a unei imagini PNG.
Odată ce codul rău intenționat reușește să se strecoare în PC-ul țintă, acesta provoacă obiectivul de a vă conecta la o pagină care găzduiește DNSChanger. Site-ul Web va efectua încă o scanare pentru a se asigura că adresa IP a țintă este în intervalul vizat, iar atunci când este confirmat, site-ul va afișați oa doua imagine care conține codul de exploatare.
Ce se întâmplă în continuare depinde de modelul de router pe care DNSChanger îl atacă. În cazul în care model de router are exploatații cunoscute, DNSChanger va utilizează aceste exploite pentru a modifica intrările DNS din router. Cand este posibil, să facă porturile de administrare disponibile din adrese externe.
Dacă routerul are fără exploatări cunoscute, DNSChanger ar încerca să utilizați acreditările prestabilite pentru a avea acces la router. Dacă routerul are nici o explozie necunoscută și nici o parolă cunoscută, malware-ul ar fi atunci abandonați atacul.
Presupunând că reușește să obțină acces la router, DNSChanger este capabil să forțați computerele conectate să se conecteze la site-urile impostor care sunt vizual identice cu cele reale.
Proofpoint a descoperit că malware-ul pare să fie falsificarea adreselor IP pentru a transferați traficul de la agențiile de anunțuri în favoarea rețelelor publicitare cunoscute sub numele de Fogzy și TrafficBroker.
În prezent, Proofpoint a menționat că este imposibil de denumit toate routerele care sunt susceptibile la DNSChanger. Cu toate acestea, Proofpoint a informat cele cinci modele de router care pot fi compromise de acest malware particular.
Pentru a vă proteja de DNSChanger, Proofpoint a recomandat acest lucru routerele sunt actualizate la cel mai recent firmware disponibil si este protejat cu lung, parola generată la întâmplare. În plus,, dezactivând administrarea de la distanță și schimbarea adresei IP implicite locale a routerului este o măsură eficientă de prevenire.