Aggiornamenti recenti Marzo 28th, 2024 9:00 AM
Dic 19, 2016 Marco Schiaffino Attacchi, Attacco non convenzionale, Hacking, Minacce, News, RSS, Vulnerabilità 0
Prendi un malware in circolazione dal 2012, modificalo per sfruttare le vulnerabilità dei router più diffusi e utilizza uno dei più efficaci Exploit Kit per diffonderlo sul Web. Ecco a voi la nuova versione di DNSChanger.
L’attacco individuato e analizzato da Proofpoint utilizza una tecnica che colpisce i computer Windows e i dispositivi Android, ma il suo vero obiettivo è il router a cui sono collegati.
L’obiettivo è quello di modificare il sistema di risoluzione degli indirizzi IP (DNS) del router per dirottare il traffico Internet su siti Web controllati dai pirati informatici.
Con una particolarità: mentre le versioni fino a oggi conosciute prendevano di mira un singolo computer, la nuova versione di DNSChanger colpisce il modem-router di casa e, di conseguenza, permette ai cyber criminali di dirottare il traffico di tutti i dispositivi che sono collegati alla rete locale o al Wi-Fi.
La strategia utilizzata dai pirati per portare l’attacco, inoltre, è estremamente articolata e sfrutta una serie di tecniche estremamente raffinate.
La prima fase dell’attacco sfrutta un Exploit Kit battezzato con il nome di Stegano e usato per la prima volta nel 2014,. Si tratta di una tecnica che sfrutta la steganografia per “nascondere” codice malevolo all’interno di immagini apparentemente innocue.
Nella sua versione rivista e corretta, la tecnica utilizza un Javascript che i pirati hanno inserito all’interno di un’immagine PNG e che secondo i ricercatori avrebbero distribuito su numerosi siti Web.
I pirati informatici, in particolare, avrebbero sfruttato (ignare) agenzie pubblicitarie per fare in modo che le immagini contenenti il codice malevolo venissero pubblicate su siti Internet molto frequentati sotto forma di banner pubblicitari apparentemente innocui.
Quando la potenziale vittima si collega a uno di questi siti usando un PC Windows con Chrome o un dispositivo Android, il codice nascosto nel banner entra in azione e, come prima cosa, individua l’indirizzo IP associato al dispositivo.
Per farlo, invia una richiesta WebRTC indirizzata a uno STUN server, che restituisce indirizzo IP e porta usata dal client. Il Javascript, a questo punto, compara l’indirizzo IP con un elenco predefinito e stabilisce se il bersaglio sia appetibile per l’attacco o meno.
Si tratta di uno stratagemma che i cyber criminali usano per filtrare i possibili bersagli per “tagliare fuori” le società antivirus ed evitare così di essere individuati.
Se il dispositivo è classificato come una potenziale vittima, viene reindirizzato a una pagina Web che contiene DNSChanger. In caso contrario, quello che viene visualizzato è un innocuo banner pubblicitario che non suscita alcun sospetto.
La seconda fase dell’attacco prevede l’invio di un’altra immagine che contiene DNSChanger, il quale esegue come prima cosa un ulteriore controllo attraverso alcune funzioni che consentono ai pirati di identificare il modello di router utilizzato dalla potenziale vittima.
DNSChanger, infatti, è in grado di modificare le impostazioni dei router sfruttando alcune vulnerabilità che affliggono solo determinati modelli.
Se il router non è tra quelli vulnerabili, il malware cerca in ogni caso di utilizzare le credenziali di default per modificare le impostazioni del DNS (Domain Name Server) in modo da poter dirottare il traffico Internet a loro piacimento.
Nel caso in cui il router sia invece tra i modelli vulnerabili (l’elenco comprende 166 modelli di diversi produttori, tra cui D-Link e Netgear, ma anche il Pirelli ADSL2/2+ Wireless Router P.DGA4001N fornito per un certo periodo in bundle da Telecom ai suoi clienti) DNSChanger sfrutta la falla per modificare le impostazioni del DNS aggirando l’autenticazione.
Non solo: in alcuni casi cercherebbe anche di stabilire un collegamento dall’esterno alle porte che consentono l’accesso agli strumenti di amministrazione in remoto.
Stando all’analisi dei ricercatori di Proofpoint, per il momento DNSChanger sarebbe usato “solamente” per dirottare il traffico Web e consentire ai pirati informatici di incassare i relativi introiti pubblicitari.
Tuttavia, la possibilità di modificare le impostazioni DNS del router aprono la strada a numerosi attacchi, tra cui il phishing. Dirottando il traffico a proprio piacimento, infatti, i cyber criminali potrebbero tranquillamente reindirizzare le loro vittime su siti apparentemente identici a quelli originali, sottraendo le relative credenziali di accesso una volta che gli ignari visitatori le avessero inserite.
Apr 20, 2023 0
Set 08, 2022 0
Mag 04, 2022 0
Apr 20, 2022 0
Mar 28, 2024 0
Mar 27, 2024 0
Mar 26, 2024 0
Mar 25, 2024 0
Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 27, 2024 0
La sanità viene presa di mira dagli infostealer: a dirlo...Mar 22, 2024 0
Nel 2024 i deepfake saranno una delle applicazioni di...Mar 21, 2024 0
Acronis annuncia l’ottenimento della qualificazione...Mar 19, 2024 0
Il numero di computer di Operation Technology (OT) è in...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 26, 2024 0
Un gruppo di ricercatori ha individuato un grosso problema...Mar 25, 2024 0
La scorsa settimana ha rappresentato una sfida...Mar 25, 2024 0
Il 22 marzo si è concluso il Pwn2Own, l’hackathon...Mar 22, 2024 0
Nel 2024 i deepfake saranno una delle applicazioni di...