Catégories
Informatique

Des chercheurs découvrent une attaque DNS du routeur domestique qui propage des logiciels malveillants sur le thème des coronavirus

mains de cybersécurité

Les chercheurs de Bitdefender ont annoncé la découverte d'une nouvelle attaque ciblant les routeurs domestiques. Dans l'attaque, les paramètres DNS du routeur sont modifiés pour rediriger la victime vers un site Web qui fournit le malware Oski infostealer comme charge utile finale. L'aspect le plus intéressant du malware est qu'il stocke la charge utile malveillante à l'aide de Bitbucket, qui est un service d'hébergement de référentiel de contrôle basé sur le Web.

Le malware sournois prend des mesures pour éviter d'alerter la victime que son routeur a été compromis, y compris en abusant de TinyURL pour masquer le lien vers la charge utile Bitbucket. La page vers laquelle les utilisateurs sont redirigés parle de la pandémie de coronavirus et propose un téléchargement pour donner aux utilisateurs des informations mises à jour sur le virus. Nous avons déjà parlé de la façon dont les gens peuvent suivre la pandémie de coronavirus sans risquer une infection par un logiciel malveillant.

Les principales conclusions de l'enquête ont révélé que le logiciel malveillant cible principalement les routeurs Linksys et utilise la force brute pour voler les informations d'identification de gestion à distance. Une fois qu'il a accès au routeur à distance, il modifie les adresses IP DNS pour rediriger vers une liste spécifique de pages Web / domaines vers un site Web sur le thème des coronavirus malveillants pour diffuser le malware. Les attaquants auraient sondé Internet pour découvrir des routeurs vulnérables qu'ils pourraient tenter d'exploiter.

Une fois que les attaquants ont modifié les adresses IP DNS, ils peuvent résoudre toute demande que l'utilisateur entre et rediriger les utilisateurs vers des pages Web que les attaquants contrôlent sans que personne ne le sache. Les adresses IP DNS que le malware utilise incluent 109.234.35.230 et 94.13.82.249. Une fois compromis, certains des domaines cibles qui sont spécifiquement redirigés incluent aws.amazon.com, Washington.edu, imageshack.us, cox.net, redditblog.com, Disney.com et xhamster.com.

Ces sites Web et bien d'autres sont redirigés vers une page qui affiche un message censé provenir de l'Organisation mondiale de la santé, proposant de télécharger une application relative à COVID-19. Selon les estimations, environ 1193 routeurs ont été compromis par l'attaque jusqu'à présent. Pour atténuer les risques, les utilisateurs doivent modifier les informations d'identification de compte cloud par défaut et utiliser des mots de passe forts.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *