DNSChanger - Malware som riktar dina routrar via webbläsare
Malware som riktar sig till datorer är ganska vanligt men malware som riktar sig till routrar är en helt annan sak. Forskare från säkerhetsföretaget Proofpoint har upptäckt att det sätt som det fungerar är liknande det senaste upptäckte Stegano malware.
Malware kallas DNSChanger, och det sprider sig via malware-laced annonser som serveras av stora annonsnätverk. DNSChanger kommer först kolla besökarens IP-adress för att se om den ligger inom intervallet. Om adressen faller inte inom målområdet, DNSChanger kommer att ställa in decoy annonser som är rena.
Å andra sidan, om adressen faller inom ett område, skulle skadlig programvara publicera en falsk annons som döljer utnyttjandekoden i metadata av en PNG-bild.
När den skadliga koden lyckas smyga sig in i målets dator orsakar det målet att ansluta till en sida som är värd för DNSChanger. Webbplatsen kommer att göra ännu en skanning för att säkerställa att målets IP-adress ligger inom det inriktade området och när det bekräftas skulle webbplatsen visa en andra bild som innehåller exploateringskoden.
Vad som händer beror nästa på routerns modell som DNSChanger attackerar. Om router modell har känt utnyttjar, DNSChanger kommer utnyttja dessa utnyttjanden för att ändra DNS-poster i routern. När det är möjligt, göra administrationsportar tillgängliga från externa adresser.
Om routern har inga kända utnyttjanden, DNSChanger skulle försöka använd standarduppgifter för att få tillgång till routern. Om routern har inga kända exploater och inga kända lösenord, malware skulle då överge attacken.
Om det antas att det går att få tillgång till routern, kan DNSChanger kunna tvinga anslutna datorer till att ansluta till bedragare som är visuellt identiska med den riktiga.
Proofpoint har upptäckt att malware verkar vara förfalskning av IP-adresser för att avleda trafik från annonsbyråer till förmån för annonsnätverk som kallas Fogzy och TrafficBroker.
För närvarande har Proofpoint nämnt att det är omöjligt att namnge alla routrar som är mottagliga för DNSChanger. Proofpoint informerade dock de fem routermodeller som kan äventyras av den här skadliga programvaran.
För att skydda dig från DNSChanger, har Proofpoint rekommenderat det Dina routrar uppdateras till senaste tillgängliga firmware och är skyddad med en lång, slumpmässigt genererat lösenord. Dessutom, inaktiverar fjärradministration och ändra routerns standard lokala IP-adress är en effektiv förebyggande åtgärd.