Routery D-Link a Linksys napadají hackeři, nutí k instalaci programu o COVID-19
28.3.2020, Jáchym Šlik, aktualita
V posledním týdnu vzrostl počet napadených routerů, které útočníci přesměrují na jiný server DNS. Uživatelé jsou potom při prohlížení internetu vyzváni, aby si nainstalovali program s informacemi o koronaviru od WHO, který ovšem obsahuje malware.
V uplynulých týdnech jsme vás varovali před několika hrozbami, které zneužívají současné pandemie koronaviru, aby napadly zařízení uživatele, ukradly jeho číslo platební karty či jiné údaje. Některé pokusy jsou dosti bizarní – např. Corona Antivirus se snažil uživatele přesvědčit, že ochrání uživatele před onemocněním COVID-19. pokud si nainstalují software pro Windows 10. O dost sofistikovanější je bezpečnostní hrozba, o které tento týden informovala společnost Bitdefender. Zatímco v případě falešného antiviru musí uživatelé sami navštívit daný web, autoři tohoto malwaru naservírují své oběti odkaz ke stažení přímo až pod nos. Nejprve totiž vzdáleně ovládnou jejich router.
První případ tohoto útoku byl zaznamenán 18. března a během několika dnů bylo napadeno minimálně 1 193 routerů. Kyberzločinci cílí především na oběti z USA, Německa a Francie, ale není to podmínkou. Ohroženy jsou především routery značek D-Link a Linksys, které nejprve hackeři napadnou pomocí útoku hrubou silou (brute-force attack), aby prolomili heslo. Mnozí uživatelé přitom usnadňují útočníkům práci, pokud nechávají nastavené výchozí heslo. Jakmile překonají tuto ochranu, změní konfiguraci DNS serveru, aby získali kontrolu nad tím, jaké stránky se oběti zobrazí po zadání adresy do internetového prohlížeče.
Potom už jen zbývá uživatele přesvědčit, aby si do svého počítače nainstaloval škodlivý software. Při pokusu o přístup na některé stránky (dlouhý seznam zahrnuje různé weby od nástrojů pro zkracování adres až po pornoweby) je potom uživatel přesměrován na web útočníka. Trik ovšem spočívá v tom, že díky změně konfigurace DNS zůstane v adresním řádku původní. důvěryhodná adresa, kterou uživatel chtěl navštívit. Stránka zobrazuje varovnou zprávu, která se snaží přimět k instalaci programu s informacemi o koronaviru. Pro zvýšení důvěryhodnosti nechybí upozornění, že se jedná o software od Světové zdravotnické organizace (WHO).
Poslední zbytky pochybností oběti se snaží rozptýlit další drobný trik. Pokud uživatel myší najede na odkaz ke stažení, zobrazí se mu jako cílová adresa https://google.com/chrome, po kliknutí na odkaz je ovšem přesměrován na jiný web, který se ukrývá pod adresou zkrácenou v nástroji TinyURL. Nainstalovaný soubor funguje jako downloader (zaznamenány byly minimálně dvě varianty), který potom do počítače stáhne Oski – poměrně nový malware objevený teprve koncem roku 2019. Tento škodlivý kód zvládne krást přihlašovací údaje a hesla k peněženkám na kryptoměny, podle tvůrců dokonce i z databází SQL různých webových prohlížečů a registru systému Windows.
Zdroj: Bitdefender.com via Zdnet.com