Routery Linksys i D‑Link zhakowane. Polska na liście celów atakujących
Hakerzy po raz kolejny wykorzystują siłę frazy koronawirus, by zachęcać swoje ofiary do instalacji szkodliwego oprogramowania. Tym razem kluczem jest uprzednia infekcja routerów, w których modyfikowane są ustawienia DNS. W efekcie, w niektórych przypadkach urządzenia przekierowują użytkownika na spreparowane strony, gdzie można pobrać rzekomy pakiet informacji o koronawirusie. W praktyce jest to instalator szkodliwego oprogramowania Oski.
26.03.2020 11:26
O szczegółach informuje Bitdefender oraz Bleeping Computer. Istotą ataku jest podmiana ustawień DNS w routerach i przekierowanie użytkownika na fałszywe strony, na co podatny jest sprzęt Linksys od D-Link. Jak wykryto, dzieje się to między innymi przy próbach otwarcia strony Disneya, imageshack, skróconych linków bit.ly czy stron z pornografią.
Zamiast strony, którą chce odwiedzić użytkownik, wyświetlana jest spreparowana witryna, na której zamieszczono informację o COVID-19. Odwiedzający jest zachęcany do instalacji aplikacji dostarczającej najświeższe informacje o koronawirusie, co ma być propozycją wprost od Światowej Organizacji Zdrowia. W rzeczywistości link prowadzi do instalatora malware o nazwie Oski, które jest wykorzystywane do wykradania prywatnych informacji, w tym z systemowego rejestru oraz loginów i haseł zapisanych w przeglądarkach na komputerze ofiary.
Jak wynika z analizy Bitdefendera, problem dotyczy przede wszystkim Stanów Zjednoczonych i Niemiec, ale również Polska znalazła się na liście krajów, w których atakujący przeprowadzają swoje działania. Czas teraźniejszy jest nieprzypadkowy – w chwili tworzenia niniejszego tekstu fałszywe strony są nadal dostępne, przez co nieświadomi zagrożenia użytkownicy wciąż są narażeni na problemy.
Bitdefender podaje dodatkowe informacje jedynie w przypadku routerów Linksysa. Tutaj problemem i furtką dla atakujących okazuje się usługa Linksys smart Wi-Fi, która pozwala dostać się do ustawień routera zdalnie. Aby zabezpieczyć się przez atakiem, zaleca się więc sprawdzić, czy hasło do usługi jest mocne, a przez to trudne do zgadnięcia. Wciąż zaskakująca liczba ataków bazuje na losowym wpisywaniu typowych, domyślnych haseł wielu urządzeń sieciowych, których nieświadomi zagrożenia użytkownicy nie zmieniają na własne kombinacje.
Użytkownicy, którzy zauważyli, że padli ofiarami atakujących, powinni przywrócić ustawienia DNS w routerze, na przykład do domyślnych. Jeśli pobrano szkodliwe oprogramowanie, należy go oczywiście nie instalować, jednak jeśli zostało to już zrobione, pozostaje ratowanie się oprogramowaniem antywirusowym, dokładnym sprawdzeniem komputera i zmianą danych logowania, które mogły zostać wykradzione z przeglądarek.