不久前,我们报道过一个新的恶意广告活动“ Stegano ” ,攻击者在主流新闻网站的广告图片像素中嵌入恶意代码并执行恶意操作。
现在,安全公司 Proofpoint 研究人员发现攻击者开始利用该恶意广告“ Stegano ”技术传播恶意软件 DNSChanger。DNSChanger 和其他恶意软件不同,它并不依赖于浏览器或者设备漏洞,而是利用家庭或小型办公室的路由器漏洞。DNSChanger 将更改 DNS 设置、劫持网络流量,进行中间人、欺诈、网络钓鱼攻击。
攻击原理:
攻击者在主流网站的广告图片中隐藏恶意代码,点击广告会重定向受害者至恶意网页下载恶意软件 DNSChanger 开发套件。
包含恶意 JavaScript 代码的图片会触发 WebRTC (网络通信协议)向 Mozilla 的 STUN 服务器发送请求,STUN 服务器会返回一个 ping 值包含 IP 地址和客户端端口号。如果目标的 IP 地址在攻击范围内,受害者将收到一个包含恶意代码的 PNG 图像广告,并再次使用恶意广告技术下载恶意软件 DNSChanger 。
恶意软件会利用路由器固件漏洞或者尝试破解弱密码入侵路由器。一旦路由器被入侵,恶意软件会改变 DNS 服务器设置,定向到攻击者控制下的恶意服务器。恶意 DNS 服务器可重定向网络流量至钓鱼网站。攻击者还可以注入广告、重定向搜索结果、尝试下载安装驱动等。
影响范围
目前,上百款路由器型号都受到影响,包括
· D-Link DSL-2740R
· NetGear WNDR3400v3 (一系列型号)
· Netgear R6200
· COMTREND ADSL Router CT-5367 C01_R12
· Pirelli ADSL2/2+ Wireless Router P.DGA4001N
解决方案
建议用户确保路由器运行最新版本的固件,使用强密码。此外还可以禁用远程管理,更改其默认本地 IP 地址,用不易修改的硬编码格式设置一个值得信赖的 DNS 服务器。
如果此文章侵权,请留言,我们进行删除。0day
文章评论