Aggiornamenti recenti Aprile 26th, 2024 9:14 AM
Dic 19, 2016 Marco Schiaffino Attacchi, Attacco non convenzionale, Hacking, Minacce, News, RSS, Vulnerabilità 0
Prendi un malware in circolazione dal 2012, modificalo per sfruttare le vulnerabilità dei router più diffusi e utilizza uno dei più efficaci Exploit Kit per diffonderlo sul Web. Ecco a voi la nuova versione di DNSChanger.
L’attacco individuato e analizzato da Proofpoint utilizza una tecnica che colpisce i computer Windows e i dispositivi Android, ma il suo vero obiettivo è il router a cui sono collegati.
L’obiettivo è quello di modificare il sistema di risoluzione degli indirizzi IP (DNS) del router per dirottare il traffico Internet su siti Web controllati dai pirati informatici.
Con una particolarità: mentre le versioni fino a oggi conosciute prendevano di mira un singolo computer, la nuova versione di DNSChanger colpisce il modem-router di casa e, di conseguenza, permette ai cyber criminali di dirottare il traffico di tutti i dispositivi che sono collegati alla rete locale o al Wi-Fi.
La strategia utilizzata dai pirati per portare l’attacco, inoltre, è estremamente articolata e sfrutta una serie di tecniche estremamente raffinate.
La prima fase dell’attacco sfrutta un Exploit Kit battezzato con il nome di Stegano e usato per la prima volta nel 2014,. Si tratta di una tecnica che sfrutta la steganografia per “nascondere” codice malevolo all’interno di immagini apparentemente innocue.
Nella sua versione rivista e corretta, la tecnica utilizza un Javascript che i pirati hanno inserito all’interno di un’immagine PNG e che secondo i ricercatori avrebbero distribuito su numerosi siti Web.
I pirati informatici, in particolare, avrebbero sfruttato (ignare) agenzie pubblicitarie per fare in modo che le immagini contenenti il codice malevolo venissero pubblicate su siti Internet molto frequentati sotto forma di banner pubblicitari apparentemente innocui.
Quando la potenziale vittima si collega a uno di questi siti usando un PC Windows con Chrome o un dispositivo Android, il codice nascosto nel banner entra in azione e, come prima cosa, individua l’indirizzo IP associato al dispositivo.
Per farlo, invia una richiesta WebRTC indirizzata a uno STUN server, che restituisce indirizzo IP e porta usata dal client. Il Javascript, a questo punto, compara l’indirizzo IP con un elenco predefinito e stabilisce se il bersaglio sia appetibile per l’attacco o meno.
Si tratta di uno stratagemma che i cyber criminali usano per filtrare i possibili bersagli per “tagliare fuori” le società antivirus ed evitare così di essere individuati.
Se il dispositivo è classificato come una potenziale vittima, viene reindirizzato a una pagina Web che contiene DNSChanger. In caso contrario, quello che viene visualizzato è un innocuo banner pubblicitario che non suscita alcun sospetto.
La seconda fase dell’attacco prevede l’invio di un’altra immagine che contiene DNSChanger, il quale esegue come prima cosa un ulteriore controllo attraverso alcune funzioni che consentono ai pirati di identificare il modello di router utilizzato dalla potenziale vittima.
DNSChanger, infatti, è in grado di modificare le impostazioni dei router sfruttando alcune vulnerabilità che affliggono solo determinati modelli.
Se il router non è tra quelli vulnerabili, il malware cerca in ogni caso di utilizzare le credenziali di default per modificare le impostazioni del DNS (Domain Name Server) in modo da poter dirottare il traffico Internet a loro piacimento.
Nel caso in cui il router sia invece tra i modelli vulnerabili (l’elenco comprende 166 modelli di diversi produttori, tra cui D-Link e Netgear, ma anche il Pirelli ADSL2/2+ Wireless Router P.DGA4001N fornito per un certo periodo in bundle da Telecom ai suoi clienti) DNSChanger sfrutta la falla per modificare le impostazioni del DNS aggirando l’autenticazione.
Non solo: in alcuni casi cercherebbe anche di stabilire un collegamento dall’esterno alle porte che consentono l’accesso agli strumenti di amministrazione in remoto.
Stando all’analisi dei ricercatori di Proofpoint, per il momento DNSChanger sarebbe usato “solamente” per dirottare il traffico Web e consentire ai pirati informatici di incassare i relativi introiti pubblicitari.
Tuttavia, la possibilità di modificare le impostazioni DNS del router aprono la strada a numerosi attacchi, tra cui il phishing. Dirottando il traffico a proprio piacimento, infatti, i cyber criminali potrebbero tranquillamente reindirizzare le loro vittime su siti apparentemente identici a quelli originali, sottraendo le relative credenziali di accesso una volta che gli ignari visitatori le avessero inserite.
Apr 20, 2023 0
Set 08, 2022 0
Mag 04, 2022 0
Apr 20, 2022 0
Apr 26, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...