DNSChanger: malware destinato ai router tramite browser web

I malware che colpiscono i computer sono piuttosto comuni, ma i malware indirizzati ai router sono completamente diversi. I ricercatori della società di sicurezza Proofpoint hanno scoperto che il modo in cui opera è simile al malware Stegano scoperto di recente.

Il malware si chiama DNSChanger e si diffonde tramite annunci con malware portati da grandi reti pubblicitarie. DNSChanger controllerà prima l'indirizzo IP del visitatore per vedere se rientra nell'intervallo . Se l'indirizzo non rientra nell'intervallo di destinazione, DNSChanger imposterà annunci esca che sono puliti .

D'altra parte, se l'indirizzo rientra in un intervallo, il malware pubblica un annuncio falso che nasconde il codice di exploit nei metadati di un'immagine PNG.

Una volta che il codice dannoso riesce a introdursi di nascosto nel PC di destinazione, fa sì che la destinazione si connetta a una pagina che ospita DNSChanger . Il sito Web condurrà l'ennesima scansione per garantire che l'indirizzo IP del target sia compreso nell'intervallo target e, una volta confermato, il sito visualizzerà una seconda immagine che contiene il codice exploit .

Quello che succede dopo dipende dal modello di router che DNSChanger sta attaccando. Se il modello di router ha exploit noti, DNSChanger utilizzerà questi exploit per modificare le voci DNS nel router. Quando possibile, rendere disponibili le porte di amministrazione da indirizzi esterni .

Se il router non ha exploit noti, DNSChanger tenterebbe di utilizzare le credenziali predefinite per ottenere l'accesso al router. Se il router non ha exploit noti e non conosce password, il malware abbandonerebbe l'attacco .

Supponendo che riesca ad accedere al router, DNSChanger è in grado di forzare i computer connessi a connettersi a siti impostori visivamente identici a quelli reali.

Proofpoint ha scoperto che il malware sembra falsificare gli indirizzi IP al fine di deviare il traffico dalle agenzie pubblicitarie a favore delle reti pubblicitarie conosciute come Fogzy e TrafficBroker.

Al momento, Proofpoint ha affermato che è impossibile nominare tutti i router sensibili a DNSChanger . Tuttavia, Proofpoint ha informato i cinque modelli di router che possono essere compromessi da questo particolare malware.

Per proteggersi da DNSChanger, Proofpoint ha raccomandato che i router vengano aggiornati all'ultimo firmware disponibile ed è protetto da una password lunga e generata casualmente . Inoltre, disabilitare l'amministrazione remota e modificare l'indirizzo IP locale predefinito del router è una misura preventiva efficace.