Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
Dic 19, 2016 Marco Schiaffino Attacchi, Attacco non convenzionale, Hacking, Minacce, News, RSS, Vulnerabilità 0
Prendi un malware in circolazione dal 2012, modificalo per sfruttare le vulnerabilità dei router più diffusi e utilizza uno dei più efficaci Exploit Kit per diffonderlo sul Web. Ecco a voi la nuova versione di DNSChanger.
L’attacco individuato e analizzato da Proofpoint utilizza una tecnica che colpisce i computer Windows e i dispositivi Android, ma il suo vero obiettivo è il router a cui sono collegati.
L’obiettivo è quello di modificare il sistema di risoluzione degli indirizzi IP (DNS) del router per dirottare il traffico Internet su siti Web controllati dai pirati informatici.
Con una particolarità: mentre le versioni fino a oggi conosciute prendevano di mira un singolo computer, la nuova versione di DNSChanger colpisce il modem-router di casa e, di conseguenza, permette ai cyber criminali di dirottare il traffico di tutti i dispositivi che sono collegati alla rete locale o al Wi-Fi.
La strategia utilizzata dai pirati per portare l’attacco, inoltre, è estremamente articolata e sfrutta una serie di tecniche estremamente raffinate.
La prima fase dell’attacco sfrutta un Exploit Kit battezzato con il nome di Stegano e usato per la prima volta nel 2014,. Si tratta di una tecnica che sfrutta la steganografia per “nascondere” codice malevolo all’interno di immagini apparentemente innocue.
Nella sua versione rivista e corretta, la tecnica utilizza un Javascript che i pirati hanno inserito all’interno di un’immagine PNG e che secondo i ricercatori avrebbero distribuito su numerosi siti Web.
I pirati informatici, in particolare, avrebbero sfruttato (ignare) agenzie pubblicitarie per fare in modo che le immagini contenenti il codice malevolo venissero pubblicate su siti Internet molto frequentati sotto forma di banner pubblicitari apparentemente innocui.
Quando la potenziale vittima si collega a uno di questi siti usando un PC Windows con Chrome o un dispositivo Android, il codice nascosto nel banner entra in azione e, come prima cosa, individua l’indirizzo IP associato al dispositivo.
Per farlo, invia una richiesta WebRTC indirizzata a uno STUN server, che restituisce indirizzo IP e porta usata dal client. Il Javascript, a questo punto, compara l’indirizzo IP con un elenco predefinito e stabilisce se il bersaglio sia appetibile per l’attacco o meno.
Si tratta di uno stratagemma che i cyber criminali usano per filtrare i possibili bersagli per “tagliare fuori” le società antivirus ed evitare così di essere individuati.
Se il dispositivo è classificato come una potenziale vittima, viene reindirizzato a una pagina Web che contiene DNSChanger. In caso contrario, quello che viene visualizzato è un innocuo banner pubblicitario che non suscita alcun sospetto.
La seconda fase dell’attacco prevede l’invio di un’altra immagine che contiene DNSChanger, il quale esegue come prima cosa un ulteriore controllo attraverso alcune funzioni che consentono ai pirati di identificare il modello di router utilizzato dalla potenziale vittima.
DNSChanger, infatti, è in grado di modificare le impostazioni dei router sfruttando alcune vulnerabilità che affliggono solo determinati modelli.
Se il router non è tra quelli vulnerabili, il malware cerca in ogni caso di utilizzare le credenziali di default per modificare le impostazioni del DNS (Domain Name Server) in modo da poter dirottare il traffico Internet a loro piacimento.
Nel caso in cui il router sia invece tra i modelli vulnerabili (l’elenco comprende 166 modelli di diversi produttori, tra cui D-Link e Netgear, ma anche il Pirelli ADSL2/2+ Wireless Router P.DGA4001N fornito per un certo periodo in bundle da Telecom ai suoi clienti) DNSChanger sfrutta la falla per modificare le impostazioni del DNS aggirando l’autenticazione.
Non solo: in alcuni casi cercherebbe anche di stabilire un collegamento dall’esterno alle porte che consentono l’accesso agli strumenti di amministrazione in remoto.
Stando all’analisi dei ricercatori di Proofpoint, per il momento DNSChanger sarebbe usato “solamente” per dirottare il traffico Web e consentire ai pirati informatici di incassare i relativi introiti pubblicitari.
Tuttavia, la possibilità di modificare le impostazioni DNS del router aprono la strada a numerosi attacchi, tra cui il phishing. Dirottando il traffico a proprio piacimento, infatti, i cyber criminali potrebbero tranquillamente reindirizzare le loro vittime su siti apparentemente identici a quelli originali, sottraendo le relative credenziali di accesso una volta che gli ignari visitatori le avessero inserite.
Set 23, 2024 0
Apr 20, 2023 0
Set 08, 2022 0
Mag 04, 2022 0
Nov 22, 2024 0
Nov 21, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...