Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
Attacchi via Web ai router. Nel mirino anche i dispositivi di Telecom
Una nuova versione di DNSChanger sfrutta le vulnerabilità di 166 modelli di router per dirottare il traffico Internet su siti Web controllati dai pirati.
Prendi un malware in circolazione dal 2012, modificalo per sfruttare le vulnerabilità dei router più diffusi e utilizza uno dei più efficaci Exploit Kit per diffonderlo sul Web. Ecco a voi la nuova versione di DNSChanger.
L’attacco individuato e analizzato da Proofpoint utilizza una tecnica che colpisce i computer Windows e i dispositivi Android, ma il suo vero obiettivo è il router a cui sono collegati.
L’obiettivo è quello di modificare il sistema di risoluzione degli indirizzi IP (DNS) del router per dirottare il traffico Internet su siti Web controllati dai pirati informatici.
Con una particolarità: mentre le versioni fino a oggi conosciute prendevano di mira un singolo computer, la nuova versione di DNSChanger colpisce il modem-router di casa e, di conseguenza, permette ai cyber criminali di dirottare il traffico di tutti i dispositivi che sono collegati alla rete locale o al Wi-Fi.
La strategia utilizzata dai pirati per portare l’attacco, inoltre, è estremamente articolata e sfrutta una serie di tecniche estremamente raffinate.
La prima fase dell’attacco sfrutta un Exploit Kit battezzato con il nome di Stegano e usato per la prima volta nel 2014,. Si tratta di una tecnica che sfrutta la steganografia per “nascondere” codice malevolo all’interno di immagini apparentemente innocue.
Nella sua versione rivista e corretta, la tecnica utilizza un Javascript che i pirati hanno inserito all’interno di un’immagine PNG e che secondo i ricercatori avrebbero distribuito su numerosi siti Web.
I pirati informatici, in particolare, avrebbero sfruttato (ignare) agenzie pubblicitarie per fare in modo che le immagini contenenti il codice malevolo venissero pubblicate su siti Internet molto frequentati sotto forma di banner pubblicitari apparentemente innocui.
Quando la potenziale vittima si collega a uno di questi siti usando un PC Windows con Chrome o un dispositivo Android, il codice nascosto nel banner entra in azione e, come prima cosa, individua l’indirizzo IP associato al dispositivo.
Per farlo, invia una richiesta WebRTC indirizzata a uno STUN server, che restituisce indirizzo IP e porta usata dal client. Il Javascript, a questo punto, compara l’indirizzo IP con un elenco predefinito e stabilisce se il bersaglio sia appetibile per l’attacco o meno.
Si tratta di uno stratagemma che i cyber criminali usano per filtrare i possibili bersagli per “tagliare fuori” le società antivirus ed evitare così di essere individuati.
Se il dispositivo è classificato come una potenziale vittima, viene reindirizzato a una pagina Web che contiene DNSChanger. In caso contrario, quello che viene visualizzato è un innocuo banner pubblicitario che non suscita alcun sospetto.
La strategia di attacco è estremamente complessa e prevede una serie di controlli per identificare le vittime. Secondo i ricercatori, i pirati che sfruttano DNS Changer erano preoccupati come prima cosa di passare il più possibile inosservati.
La seconda fase dell’attacco prevede l’invio di un’altra immagine che contiene DNSChanger, il quale esegue come prima cosa un ulteriore controllo attraverso alcune funzioni che consentono ai pirati di identificare il modello di router utilizzato dalla potenziale vittima.
DNSChanger, infatti, è in grado di modificare le impostazioni dei router sfruttando alcune vulnerabilità che affliggono solo determinati modelli.
Se il router non è tra quelli vulnerabili, il malware cerca in ogni caso di utilizzare le credenziali di default per modificare le impostazioni del DNS (Domain Name Server) in modo da poter dirottare il traffico Internet a loro piacimento.
Nel caso in cui il router sia invece tra i modelli vulnerabili (l’elenco comprende 166 modelli di diversi produttori, tra cui D-Link e Netgear, ma anche il Pirelli ADSL2/2+ Wireless Router P.DGA4001N fornito per un certo periodo in bundle da Telecom ai suoi clienti) DNSChanger sfrutta la falla per modificare le impostazioni del DNS aggirando l’autenticazione.
Non solo: in alcuni casi cercherebbe anche di stabilire un collegamento dall’esterno alle porte che consentono l’accesso agli strumenti di amministrazione in remoto.
Stando all’analisi dei ricercatori di Proofpoint, per il momento DNSChanger sarebbe usato “solamente” per dirottare il traffico Web e consentire ai pirati informatici di incassare i relativi introiti pubblicitari.
Tuttavia, la possibilità di modificare le impostazioni DNS del router aprono la strada a numerosi attacchi, tra cui il phishing. Dirottando il traffico a proprio piacimento, infatti, i cyber criminali potrebbero tranquillamente reindirizzare le loro vittime su siti apparentemente identici a quelli originali, sottraendo le relative credenziali di accesso una volta che gli ignari visitatori le avessero inserite.
Condividi l'articolo
Strumenti specializzati per Kaspersky Small Office Security
Quando i giocattoli smart sono una minaccia per la privacy
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
