Campaña de publicidad maliciosa aprovechando el malware DNSChanger que compromete múltiples modelos de routers domésticos.
El tiempo de Navidad puede ser el momento más ocupado del año para ir de compras en línea en muchos países. Investigadores de Proofpoint han anunciado recientemente el descubrimiento de una nueva y mejorada versión del DNSChanger Exploit Kit."Desde finales de octubre, hemos visto una versión mejorada del" EK DNSChanger "Se utiliza en las campañas de publicidad maliciosa en curso. DNSChanger ataca routers de Internet a través de navegadores web potenciales víctimas, EK no se basa en navegador o dispositivo vulnerabilidades sino vulnerabilidades en routers domesticos de las víctimas o. " Declara el análisis publicado por Proofpoint .
Cuando una víctima hace clic en un enlace malicioso del malware, a diferencia de la mayoría paquetes de exploits en la naturaleza, no ataca el sistema operativo o el navegador, pero el hogar o pequeña oficina router.
Una vez que se ve comprometido el router el tráfico de Internet de la víctima se pueden dirigir a cualquier posible los sitios de phishing y la víctima podría permanecer bajo ataque constante publicidad maliciosa que ayudaría penal para aumentar el daño que causan.
Las similitudes de esta campaña de ataque tiene con el "CSRF Soho pharming" descubierto a principios de 2015 sugiere que los mismos actores podrían estar detrás de esta nueva visión del ataque. Sin embargo, los investigadores señalan que varias mejoras fueron hechas al paquete de exploits, lo que lo hace más peligroso.
"El Patrón de ataque y similitudes de la cadena de infección nos llevaron a concluir que el actor detrás de estas campañas también fue responsable de la" (Solicitud de Cross-Site Falsificación) CSRF Soho Pharming "operaciones en el primer semestre de 2015.", Continúa el análisis.
La nueva versión incluye algunas características adicionales, tales como
- La resolución de DNS externo para las direcciones internas
- Una clave AES para descifrar la lista de huellas dactilares / credenciales predeterminadas y resoluciones locales
- Decenas de explotación del router recientes
- Cuando sea posible el exploit kit modifica las reglas de red para que los puertos de administración disponibles en las direcciones externas, dejando al descubierto el router a los ataques adicionales como los perpetrados por las redes de bots Mirai
- La cadena maliciosa está aceptando los dispositivos Android también.
La víctima se ve comprometida inicialmente por anuncios en sitios web legítimos. Una vez que el malware se instala en el navegador de la víctima (Chrome para Windows y Android), trata de localizar e identificar el router. El paquete de exploits a continuación, recibe las instrucciones para explotar esa marca / modelo específico. El exploit kit hace un amplio uso de la esteganografía técnicas tales como código HTML escondido en el campo de comentario de un archivo PNG.
DNSChanger parece apuntar a grandes agencias de publicidad mediante la reorientación de su tráfico a otros servicios de publicidad de terceros.
El malware puede explotar la actualidad un gran número de distintos enrutadores y modelos incluidos los siguientes exploits recién añadidos: D-Link DSL-2740R, COMTREND ADSL Router CT-5367 C01_R12, NetGear WNDR3400v3 (y probablemente otros modelos de esta serie), P.DGA4001N Pirelli ADSL2 / 2 + Router inalámbrico, Netgear R6200
Actualmente no hay técnicas de reducción efectivas reales para este ataque, excepto la actualización del firmware del router a la última versión.
Cualquier ataque que compromete el DNS en cualquier red puede proporcionar al atacante una amplia gama de nuevos tipos de ataque, incluyendo fraudes y ataques de phishing.
Fecha actualización el 2016-12-18. Fecha publicación el 2016-12-18. Categoría: Malware. Autor: Oscar olg Mapa del sitio