• Chia sẻ bài viết Bkav cảnh báo mã độc DNSChanger chiếm quyền điều khiển router đã xuất hiện trở lại lên Linkhay
  • Giúp ictnews sửa lỗi

Bkav cảnh báo mã độc DNSChanger chiếm quyền điều khiển router đã xuất hiện trở lại

ictnews
Theo Ban quản trị diễn đàn Whitehat (Bkav), DNSChanger là malware từng lây nhiễm hàng triệu máy tính trên khắp thế giới vào năm 2012 và thời gian gần đây đang có xu hướng quay trở lại phát tán mã độc thông qua hình ảnh trên các banner quảng cáo.

DNSChanger hoạt động bằng cách thay đổi entry của DNS server trên máy tính bị lây nhiễm để trỏ đến máy chủ DNS độc hại của tin tặc thay vì máy chủ DNS do ISP cung cấp.
Vì vậy, khi bạn dùng một máy tính bị lây nhiễm truy cập một trang web thì máy chủ DNS độc hại sẽ trả về một trang web giả mạo. Tin tặc cũng có thể lây nhiễm vào các quảng cáo, chuyển hướng kết quả tìm kiếm, và cài đặt tự động các phần mềm độc hại vào máy tính.

Đáng lo ngại nhất là các tin tặc đã kết hợp cả hai hình thức tấn công là dùng mã độc DNSChanger sử dụng kĩ thuật Stegno. Một khi bị tấn công, không chỉ máy tính của bạn bị lây nhiễm, mà mã độc này còn kiểm soát cả các router bảo mật kém.
Các chyên gia đã phát hiện thấy DNSChanger trên hơn 166 loại router. Mã độc này không nhằm vào trình duyệt, thay vì đó nó nhắm đến các router chạy firmware chưa được cập nhật bản vá hoặc đặt mật khẩu quản trị yếu.

DNSChanger hoạt động như thế nào?


Thứ nhất, các quảng cáo trên các trang web chính thống ẩn các đoạn mã độc trong dữ liệu hình ảnh. Khi nạn nhân click vào, sẽ chuyển hướng đến các trang web chứa DNSChanger. Sau đó DNSChanger sẽ tấn công vào các router bảo mật kém nói trên.
Một khi xác định được mục tiêu, DNSChanger tự cấu hình để chuyển DNS server của hệ thống sang dùng DNS server độc hại của tin tặc.

 


Các quảng cáo chứa mã JavaScript độc hại sẽ tiết lộ địa chỉ IP cục bộ của người dùng bằng cách tạo ra một WebRTC request tới Mozilla STUN server.
STUN server sau đó gửi lại ping có chứa các địa chỉ IP và port của khách hàng. Nếu địa chỉ IP của mục tiêu trong phạm vi tấn công, mục tiêu nhận được một quảng cáo giả có chứa mã khai thác trong metadata của một ảnh định dạng PNG.
Cuối cùng malware chuyển hướng khách truy cập đến một trang web chứa DNSChanger, trong đó sử dụng trình duyệt Chrome dành cho Windows và Android để giấu mã khai thác router.

Danh sách một số loại router bị ảnh hưởng

 

  • D-Link DSL-2740R
  • Netgear WNDR3400v3
  • Netgear R6200
  • COMTREND ADSL Router CT-5367 C01_R12
  • Pirelli ADSL2 / 2 + Wireless Router P.DGA4001N

Hiện không rõ có bao nhiêu người dùng đã bị ảnh hưởng bởi loại mã độc này, nhưng theo Proofpoint con số thực tế là khoảng 1 triệu người mỗi ngày, một con số quá lớn.
Proofpoint không tiết lộ tên của bất kỳ mạng quảng cáo hay trang web nào hiển thị quảng cáo độc hại.


Theo Ban quản trị diễn đàn Whitehat, để đảm bảo mình được an toàn, người dùng cần cập nhật router lên bản firmware mới nhất và sử dụng mật khẩu quản trị router đủ mạnh. Ngoài ra, người dùng nên tắt chế độ quản trị từ xa trên router, đổi địa chỉ IP cục bộ mặc định và sử dụng DNS server đáng tin cậy.

PV

Tương tác trực tiếp với ICTnews trên Facebook

Video đang được xem nhiều

  • Chia sẻ bài viết Bkav cảnh báo mã độc DNSChanger chiếm quyền điều khiển router đã xuất hiện trở lại lên Linkhay
  • Giúp ictnews sửa lỗi

Bài viết chưa có bình luận nào.

lên đầu trang