DNSChanger - Malware destinato ai router tramite browser web
I malware che colpiscono i computer sono piuttosto comuni ma malware che indirizza i router sono una cosa completamente diversa. I ricercatori della società di sicurezza Proofpoint hanno scoperto che il modo in cui opera è simile al recente ha scoperto il malware di Stegano.
Il malware è chiamato DNSChanger, e si diffonde via annunci con malware che sono serviti da grandi reti pubblicitarie. DNSChanger sarà il primo controlla l'indirizzo IP del visitatore per vedere se rientra nell'intervallo. Se l'indirizzo non rientra nell'intervallo di destinazione, DNSChanger lo farà impostare gli annunci esca che sono puliti.
D'altra parte, se l'indirizzo rientra in un intervallo, il malware lo farebbe pubblica un annuncio falso che nasconde il codice di exploit nei metadati di un'immagine PNG.
Una volta che il codice dannoso riesce a introdursi di nascosto nel PC di destinazione, provoca la destinazione per connettersi a una pagina che ospita DNSChanger. Il sito Web condurrà un'altra scansione per garantire che l'indirizzo IP del target sia compreso nell'intervallo target e, una volta confermato, il sito mostra una seconda immagine che contiene il codice exploit.
Quello che succede dopo dipende dal modello del router che DNSChanger sta attaccando. Se la modello di router ha conosciuto exploit, DNSChanger lo farà utilizzare questi exploit per modificare le voci DNS nel router. Quando possibile, rendere disponibili le porte di amministrazione da indirizzi esterni.
Se il router ha nessun exploit conosciuto, DNSChanger avrebbe tentato di usa le credenziali predefinite per accedere al router. Se il router ha nessun exploit conosciuto e nessuna password conosciuta, il malware sarebbe allora abbandonare l'attacco.
Supponendo che riesca ad accedere al router, DNSChanger è in grado di farlo forzare i computer connessi a connettersi a siti di impostori che sono visivamente identici a quello reale.
Proofpoint ha scoperto che il malware sembra essere falsificare gli indirizzi IP in modo da deviare il traffico dalle agenzie pubblicitarie a favore di reti pubblicitarie note come Fogzy e TrafficBroker.
Al momento, Proofpoint ha affermato che lo è impossibile nominare tutti i router sensibili a DNSChanger. Tuttavia, Proofpoint ha informato i cinque modelli di router che possono essere compromessi da questo particolare malware.
Proofpoint lo ha raccomandato per proteggersi da DNSChanger i tuoi router sono aggiornati all'ultimo firmware disponibile ed è protetta con un lungo, password generata casualmente. Inoltre, disabilitazione dell'amministrazione remota e cambiare l'indirizzo IP locale predefinito del router è una misura preventiva efficace.