Mã độc DNSChanger chiếm quyền điều khiển router đã xuất hiện trở lại

[maldet]

Lần tới khi bạn nhìn thấy một quảng cáo của một đôi giày bạn thích trên bất kỳ trang web nào, kể cả là trang web chính thống cũng đừng click vào, vì quảng cáo đó có thể sẽ lây nhiễm malware không chỉ sang máy tính của bạn, mà mọi thiết bị kết nối đến mạng của bạn cũng sẽ bị ảnh hưởng.
Cách đây không lâu, chúng ta đã biết malware Stegano ẩn đoạn mã độc hại trong một vài pixel trên các banner quảng cáo của các trang web.
Gần đây, các chuyên gia phát hiện ra malware DNSChanger cũng phát tán mã độc thông qua hình ảnh trên các banner quảng cáo. Nếu bạn chưa biết thì DNSChanger chính là malware đã từng lây nhiễm hàng triệu máy tính trên khắp thế giới vào năm 2012.

DNSChanger hoạt động bằng cách thay đổi entry của DNS server trên máy tính bị lây nhiễm để trỏ đến máy chủ DNS độc hại của tin tặc thay vì máy chủ DNS do ISP cung cấp.
Vì vậy, khi bạn dùng một máy tính bị lây nhiễm truy cập một trang web thì máy chủ DNS độc hại sẽ trả về một trang web giả mạo. Tin tặc cũng có thể lây nhiễm vào các quảng cáo, chuyển hướng kết quả tìm kiếm, và cài đặt tự động các phần mềm độc hại vào máy tính.

Đáng lo ngại nhất là các tin tặc đã kết hợp cả hai hình thức tấn công là dùng mã độc DNSChanger sử dụng kĩ thuật Stegno. Một khi bị tấn công, không chỉ máy tính của bạn bị lây nhiễm, mà mã độc này còn kiểm soát cả các router bảo mật kém.
Các chyên gia đã phát hiện thấy DNSChanger trên hơn 166 loại router. Mã độc này không nhằm vào trình duyệt, thay vì đó nó nhắm đến các router chạy firmware chưa được cập nhật bản vá hoặc đặt mật khẩu quản trị yếu.

DNSChanger hoạt động như thế nào?
Thứ nhất, các quảng cáo trên các trang web chính thống ẩn các đoạn mã độc trong dữ liệu hình ảnh. Khi nạn nhân click vào, sẽ chuyển hướng đến các trang web chứa DNSChanger. Sau đó DNSChanger sẽ tấn công vào các router bảo mật kém nói trên.
Một khi xác định được mục tiêu, DNSChanger tự cấu hình để chuyển DNS server của hệ thống sang dùng DNS server độc hại của tin tặc.




Các quảng cáo chứa mã JavaScript độc hại sẽ tiết lộ địa chỉ IP cục bộ của người dùng bằng cách tạo ra một WebRTC request tới Mozilla STUN server.
STUN server sau đó gửi lại ping có chứa các địa chỉ IP và port của khách hàng. Nếu địa chỉ IP của mục tiêu trong phạm vi tấn công, mục tiêu nhận được một quảng cáo giả có chứa mã khai thác trong metadata của một ảnh định dạng PNG.
Cuối cùng malware chuyển hướng khách truy cập đến một trang web chứa DNSChanger, trong đó sử dụng trình duyệt Chrome dành cho Windows và Android để giấu mã khai thác router.

Danh sách một số loại router bị ảnh hưởng

• D-Link DSL-2740R
• Netgear WNDR3400v3
• Netgear R6200
• COMTREND ADSL Router CT-5367 C01_R12
• Pirelli ADSL2 / 2 + Wireless Router P.DGA4001N

Hiện không rõ có bao nhiêu người dùng đã bị ảnh hưởng bởi loại mã độc này, nhưng theo Proofpoint con số thực tế là khoảng 1 triệu người mỗi ngày, một con số quá lớn.
Proofpoint không tiết lộ tên của bất kỳ mạng quảng cáo hay trang web nào hiển thị quảng cáo độc hại.

Phòng tránh
Để đảm bảo mình được an toàn, bạn cần cập nhật router lên bản firmware mới nhất và sử dụng mật khẩu quản trị router đủ mạnh. Ngoài ra, bạn nên tắt chế độ quản trị từ xa trên router, đổi địa chỉ IP cục bộ mặc định và sử dụng DNS server đáng tin cậy.

 

Đợt cuối 2011 và 2012 anh nhớ đã từng thấy Google cảnh báo vấn đề này.

 

Đợt cuối 2011 và 2012 anh nhớ đã từng thấy Google cảnh báo vấn đề này.

vâng, giờ nó còn kết hợp thêm Stegano nên càng nguy hiểm hơn nhiều