Aanvallers veranderen via javascript de dns-instellingen van een router, om vervolgens advertenties te kunnen serveren op andere websites. Dat blijkt uit onderzoek van Ara Labs. Aanvallers gebruiken de code van Google Analytics om de advertenties te kunnen serveren.

Rogue DNS

De hack, waarvan de reikwijdte onbekend is, bestaat grofweg uit twee stadia, legt Ara Labs uit. Allereerst moeten aanvallers de dns-instellingen van de router van een potentieel slachtoffer wijzigen, zodat de router de dns-server van de aanvallers gebruikt. Daartoe proberen aanvallers via een exploit-kit en met behulp van javascript de router-instellingen te wijzigen. Ze misbruiken daartoe een kwetsbaarheid in de router, of proberen standaard-gebruikersnamen en -wachtwoorden.

Vervolgens onderscheppen aanvallers verzoeken naar de servers van Google Analytics. Daarbij wordt de javascript-code van Google Analytics gebruikt om eigen javascriptcode te serveren, die

javascript 2 hijack router

zorgt voor advertenties. Daarmee kunnen de aanvallers hun eigen advertenties injecteren op alle websites die over Google Analytics beschikken, waaronder advertenties voor porno.

Gebruikers kunnen zichzelf verweren tegen de aanval door hun routersoftware volledig te patchen, en door geen standaard-gebruikersnamen en -wachtwoorden te gebruiken, aldus AraLabs.

Bron: Tweakers.net