Startpagina » internet » DNSChanger - Malware die uw routers target via een webbrowser

    DNSChanger - Malware die uw routers target via een webbrowser

    Malware die op computers is gericht, is vrij gewoon, maar malware die routers target zijn een heel ander ding. Onderzoekers van het beveiligingsbedrijf Proofpoint hebben ontdekt dat de manier waarop het werkt vergelijkbaar is met recent ontdekte malware van Stegano.

    De malware wordt genoemd DNSChanger, en het verspreidt zich via advertenties met malware die worden bediend door grote advertentienetwerken. DNSChanger zal eerst controleer het IP-adres van de bezoeker om te zien of dit binnen het bereik valt. Als het adres valt niet binnen het doelbereik, DNSChanger zal stel valse advertenties in die schoon zijn.

    Aan de andere kant, als het adres binnen een bereik valt, zou de malware dat doen publiceer een valse advertentie die exploitcode in de metadata verbergt van een PNG-afbeelding.

    Zodra de schadelijke code erin slaagt zich een weg te banen in de pc van het doelwit, veroorzaakt dit het doel om verbinding te maken met een pagina waarop DNSChanger wordt gehost. De website voert nog een scan uit om ervoor te zorgen dat het IP-adres van het doel binnen het beoogde bereik valt en wanneer het wordt bevestigd, zou de site een tweede afbeelding weergeven die de exploit-code bevat.

    Wat er vervolgens gebeurt, is afhankelijk van het routermodel dat DNSChanger aanvalt. Als het router model heeft exploits gekend, zal DNSChanger dat doen gebruik deze exploits om de DNS-vermeldingen in de router aan te passen. Wanneer mogelijk, maak beheerpoorten beschikbaar vanaf externe adressen.

    Als de router heeft geen bekende exploits, DNSChanger zou proberen gebruik standaard referenties om toegang te krijgen tot de router. Als de router heeft geen bekende exploits en geen bekende wachtwoorden, de malware zou dan de aanval verlaten.

    Ervan uitgaande dat het erin slaagt toegang te krijgen tot de router, kan DNSChanger dit doen dwingen verbonden computers om verbinding te maken met bedriegersites die visueel identiek zijn aan de echte.

    Proofpoint is erachter gekomen dat de malware lijkt te zijn IP-adressen vervalsen om te verkeer van reclamebureaus omleiden in het voordeel van advertentienetwerken die bekend staan ​​als Fogzy en TrafficBroker.

    Op dit moment heeft Proofpoint gezegd dat dit zo is onmogelijk om alle routers te noemen die gevoelig zijn voor DNSChanger. Proofpoint heeft echter de vijf routermodellen geïnformeerd die door deze specifieke malware kunnen worden aangetast.

    Om jezelf tegen DNSChanger te beschermen, heeft Proofpoint dat aanbevolen uw routers worden bijgewerkt naar de nieuwste beschikbare firmware en is beschermde met een lang, willekeurig gegenereerd wachtwoord. Daarnaast, uitschakelen van extern beheer en wijzigen van het standaard lokale IP-adres van de router is een effectieve preventieve maatregel.