DNSChanger - A webböngészőn keresztül a routereket célzó rosszindulatú programok
A számítógépeket célzó rosszindulatú programok meglehetősen gyakori, de a routereket célzó malware teljesen más dolog. A Proofpoint biztonsági cég kutatói felfedezték, hogy a működésének módja hasonló a közelmúlthoz felfedezte Stegano malware-t.
A rosszindulatú programokat hívják DNSChanger, és terjed rosszindulatú programokhoz fűzött hirdetések amelyeket nagy hirdetési hálózatok szolgáltatnak. A DNSChanger először ellenőrizze a látogató IP-címét, hogy lássa, hogy a tartományon belül van-e. Ha a cím nem tartozik a céltartományba, DNSChanger lesz hamis hirdetések létrehozása, amelyek tisztaak.
Másrészről, ha a cím egy tartományba esik, a rosszindulatú program közzétesz egy hamis hirdetést, amely elrejti a metaadatok kódját PNG-kép.
Amint a rosszindulatú kód sikerül elfojtani a cél PC-jébe, az okozza a cél, hogy csatlakozzon egy olyan oldalhoz, amely DNSChanger-et tartalmaz. A weboldal újabb vizsgálatot fog végezni annak biztosítására, hogy a cél IP-címe a céltartományon belül legyen, és ha megerősítést nyer, a webhely meg fog jelenni megjelenítsen egy második képet, amely tartalmazza a kihasználási kódot.
Ami ezután következik, az a router modelltől függ, amit a DNSChanger támad. Ha a router modell ismert kizsákmányolásokkal, DNSChanger lesz használja ezeket a kihasználásokat az útválasztó DNS-bejegyzéseinek módosítására. Amikor lehetséges, az adminisztrációs portok külső címekről elérhetővé tétele.
Ha az útválasztó rendelkezik nincs ismert kizsákmányolás, A DNSChanger megpróbálja használja az alapértelmezett hitelesítő adatokat hozzáférni az útválasztóhoz. Ha az útválasztó rendelkezik nincsenek ismert kihasználások és nem ismert jelszavak, a kártékony program ekkor lesz hagyja abba a támadást.
Feltételezve, hogy sikerül hozzáférni az útválasztóhoz, a DNSChanger képes kényszerítse a csatlakoztatott számítógépeket, hogy csatlakozzanak az impostor oldalakhoz amelyek vizuálisan megegyeznek a valódival.
A Proofpoint rájött, hogy a kártékony program úgy tűnik IP-címek meghamisítása azért, hogy átirányítja a forgalmat a hirdetési ügynökségektől a Fogzy és a TrafficBroker néven ismert hirdetési hálózatok javára.
Jelenleg a Proofpoint megemlítette, hogy ez az lehetetlen megnevezni azokat a routereket, amelyek érzékenyek a DNSChangerre. A Proofpoint azonban tájékoztatta az öt router modellt, amelyek veszélyeztethetik az adott malware-t.
Annak érdekében, hogy megvédje magát a DNSChanger-től, a Proofpoint ezt javasolta az útválasztók frissülnek a legújabb elérhető firmware-re és van védett val,-vel hosszú, véletlenszerűen generált jelszó. Továbbá, távoli adminisztráció letiltása és az útválasztó alapértelmezett helyi IP-címének módosítása hatékony megelőző intézkedés.