Новости Хакеры изменяют настройки DNS для перенаправления жертв на вредоносные сайты

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
54.919
Репутация
62.740
Реакции
277.125
RUB
0
Файл APK для Android, и фишинговый сайт для iOS – злоумышленники позаботились обо всех.

image



Кампания Roaming Mantis обновила свое вредоносное ПО для Android, включив в него функцию изменения настроек на уязвимых WiFi-роутерах для распространения вредоносного ПО на другие устройства.

Обновленный вариант «Wroba.o/XLoader» был обнаружен », которые ранее уже отслеживали активность Roaming Mantis. По словам аналитиков ЛК, Roaming Mantis использует перехват DNS ( ) как минимум с 2018 года, но в последней кампании вредоносное ПО нацелено на определенные маршрутизаторы, используемые в основном в Южной Корее. Кроме того, хакеры могут изменить модели роутеров в любое время, включив маршрутизаторы, которые используются в других странах.

Такой подход позволяет злоумышленникам проводить более целенаправленные атаки и компрометировать только определенных пользователей и регионы, избегая обнаружения во всех остальных случаях.

В последних кампаниях Roaming Mantis используется для направления целей на вредоносный веб-сайт.



  • Пользователю Android-устройства будет предложено установить APK-файл, содержащий «Wroba.o/XLoader»;
  • А пользователей iOS целевая страница будет перенаправлять на фишинговый сайт для кражи учетных данных.





Цепочка атак в последней кампании Roaming Mantis

После того, как вредоносное ПО установлено на Android-устройстве жертвы, «Wroba.o/XLoader» получает IP-адрес шлюза по умолчанию от подключенного WiFi-роутера. Затем вредонос пытается получить доступ к веб-интерфейсу администратора, используя пароль по умолчанию, чтобы определить модель устройства. Затем программа выполняет перехват DNS, изменяя настройки маршрутизатора с помощью разных методов в зависимости от обнаруженной модели.

Когда настройки DNS изменены, а устройства подключаются к Wi-Fi, они перенаправляются на вредоносную страницу, где жертве будет предложено установить вредоносное ПО. Это создает непрерывный поток зараженных устройств для дальнейшего взлома чистых роутеров в общедоступных сетях, которые обслуживают большое количество людей в стране.

Телеметрия «Лаборатории Касперского» показывает, что 10% всех жертв XLoader находятся в США. Чтобы защититься от кампании Roaming Mantis, нельзя переходить по ссылкам, полученным через SMS, а также не устанавливать APK-файлы не в Google Play.










 
Сверху Снизу