Een paar dagen geleden berichtten we over een nieuwe exploit kit, genaamd Stegano. Deze verstopt kwaadaardige code in de pixels van banner advertenties nieuwssites.
Nu, hebben onderzoekers ontdekt dat aanvallers zich richten op online gebruikers via een exploit kit genaamd DNSChanger. Deze wordt verspreid via advertenties met kwaadaardige code in plaatjes.
Als je DNSChanger bekend voorkomt klopt dat. Dezelfde malware heeft in 2012 miljoenen computers wereldwijd besmet.
DNSChanger past de DNS-server verwijzingen in de geïnfecteerde computer aan. Hiermee kunnen de aanvallers je naar kwaadaardige servers leiden.
Dus, wanneer een gebruiker van een geïnfecteerd systeem een website bezoekt (laten we zeggen, facebook.com), kan de kwaadaardige DNS-server je naar een phishing-site sturen.
Onderzoekers van Proofpoint hebben ontdekt dat deze unieke DNSChanger exploit kit voor meer dan 166 router modellen werkt. De kit is uniek, omdat de malware zich niet op browsers richt maar juist routers met ongepatchte firmware of met zwakke admin wachtwoorden.
Hier werkt de aanval:
De advertenties op (mainstream) websites met de kwaadaardige code in plaatjes leiden de slachtoffers naar webpagina's met de DNSChanger exploit kit. De exploit kit richt zich dan onbeveiligde routers.
Zodra de router is gecompromitteerd, zal de DNSChanger malware de router de dns entires aanpssen naar de DNS-server van de aanvaller. Hierbij zullen de meeste computers in het locale netwerk nu de kwaadaardige servers bezoeken, in plaats van de officiële domeinen.
De advertenties met de schadelijke JavaScript-code onthult het lokale IP-adres van een gebruiker. Dit door triggering van een WebRTC aanvraag (het web communicatieprotocol) naar een Mozilla STUN (Session Traversal Utilities voor NAT) server.
De STUN server stuurt vervolgens een ping terug met daarin het IP-adres en de poort van de opdrachtgever. Als het IP-adres van het doel binnen een gericht bereik is, ontvangt het doel een nep-advertentie met daarin de exploit code in de metadata een PNG-afbeelding.
De kwaadaardige code stuurt de bezoeker naar een webpagina waarop de DNSChanger malware draait, die degebruiker een tweede afbeelding met verborgen exploit code voorschotelt.
"Deze aanval wordt gevormd door de specifieke router model dat wordt gedetecteerd tijdens de verkenning fase. Als er geen bekende exploit bekend is zullen de standaard inloggegevens worden gebruikt."
Lijst van routers Getroffen
De aanval verbergd het verkeer en vergelijkt checkt de router tegen 166 vingerprints om te bepalen of het om een kwetsbaar router model gaat. Volgens onderzoekers enkele kwetsbare routers omvatten:
- D-Link DSL-2740R
- NetGear WNDR3400v3 (en waarschijnlijk ook de andere modellen in deze serie)
- Netgear R6200
- COMTREND ADSL Router CT-5367 C01_R12
- Pirelli ADSL2 / 2 + Wireless Router P.DGA4001N
Het is niet duidelijk op dit moment hoeveel mensen zijn blootgesteld aan de schadelijke advertenties of hoe lang de campagne heeft gelopen, maar Proofpoint zei dat de aanvallers achter de campagne al eerder verantwoordelijk waren voor het infecteren van meer dan 1 miljoen mensen per dag.
Gebruikers wordt geadviseerd om ervoor te zorgen dat hun routers op de nieuwste versie van hun firmware draaien en zich beschermen met een sterk wachtwoord. Advies is om ook het beheer op afstand uit te schakelen, het standaard lokale IP-adres te wijzigen, en een vertrouwde DNS-server in in de netwerkinstellingen van het het besturingssysteem te configureren.
Bron: Proofpoint