O nouă formă de malware deturnează routere de reţea, inserând reclame în paginile web

Autori: Aurelian Mihai, Liviu - Andrei Mihai 27.03.2015
O nouă formă de malware deturnează routere de reţea, inserând reclame în paginile web

Reclame cu provenienţă dubioasă şi conţinut pornografic inserat în aproape toate tab-urile deschise cu brower-ul web. Am putea fi tentaţi să credem că avem de-a face cu o extensie infectată sau componentă adware, strecurată din neatenţie la instalarea unei aplicaţii software. În realitate, victima ar putea fi chiar routerul wireless, deturnat cu o formă de malware care forţează injectarea de reclame suplimentare în paginile website-urilor legitime.

Modalitatea de atac alternează între injectarea de reclame în paginile web şi redirecţionarea utilizatorilor către website-uri specializate în conţinut pornografic, cum ar fi adultyum.info şi adultcameras.info. Momentan, lista routerelor vizate şi vulnerabilitatea exploatată pentru facilitarea infectării nu sunt cunoscute. Potrivit raportului întocmit de Ara Labs, în prezent nu sunt disponibile tehnologii care să permită detecţia automată a acestor atacuri, iar cei responsabili sunt foarte atenţi să-şi acopere urmele odată ce un dispozitiv de reţea a fost compromis.

Atacul funcţionează prin manipularea sistemului DNS (Domain Name System), folosit pentru conversia adreselor URL în adrese IP. Practic, în loc să acceseze direct adresa IP specificată de serverul DNS, routerele compromise înaintează solicitarea unui server aflat în posesia atacatorilor, care injectează conţinut propriu în paginile vizate.

Mai puţin puternice decât un computer şi cu acces mai rar, sau deloc, la actualizări de securitate, routerele de reţea pot fi compromise relativ uşor exploatând vulnerabilităţi cunoscute. Odată infectate, echipamentele pot fi incluse cu uşurinţă în reţele botnet, folosite în atacuri de tip DoS (denial of service) şi clonarea website-urilor bancare pentru interceptarea datelor de login. Un alt atac preferat de hackeri presupune interceptarea directă a traficului de date, căutând parole şi alte date sensibile fără a răspândi infectarea către PC-urile conectate în reţea.

Propagate cu ajutorul echipamentelor de reţea infectate, atacurile pot rămâne nedetectabile pentru programele antivirus şi continua pe perioade mari de timp, victimele rămase cu un fals sentiment de siguranţă ajungând să confunde reclamele suplimentare cu mesaje legitime. 

Tags: