Злоумышленники заменяют прописанный в настройках маршрутизатора DNS-сервер для того, чтобы перехватывать трафик.
Независимый исследователь безопасности, известный под псевдонимом Kafeine, обнаружил, что злоумышленники разработали web-инструмент для угона DNS, при помощи которого они ищут уязвимости в устаревших версиях плагинов для обозревателя, например, Flash Player, Java, Adobe Reader и Silverlight. При этом цель киберпреступника заключается в установке вредоносного ПО на те компьютеры, где не установлены последние обновления для популярных плагинов.
Kafeine сообщил, что пользователи Chrome перенаправляются на вредоносный сервер, который предназначен для определения модели маршрутизатора. Во время осуществления подобной атаки киберпреступник заменяет прописанный в настройках маршрутизатора DNS-сервер на контролируемый им сервер. Это позволяет ему перехватывать трафик и поисковые запросы, а также внедрять вредоносное ПО.
В список производителей, чьи устройства могут быть опознаны злоумышленниками, входят Asustek Computer, Belkin, D-Link, Edimax Technology, Linksys, Medialink, Microsoft, Netgear, Shenzhen Tenda Technology, TP-Link Technologies, Netis Systems, Trendnet, ZyXEL Communications и HooToo.
Инструмент пытается изменить настройки DNS маршрутизатора в зависимости от обнаруженной модели, используя известные уязвимости устройства.
На web-сайт внедряется вредоносный код, который позволяет перенаправить пользователя на подконтрольный киберпреступнику сервер. После этого злоумышленник может получить IP-адрес жертвы, информацию об ОС, географическое местоположение, тип браузера и список установленных плагинов. Получив эти данные, киберпреступник выбирает нужный в конкретной ситуации экплоит.
Источник: securitylab.ru.
|