Routery Linksys i D‑Link zhakowane. Polska na liście celów atakujących

Hakerzy po raz kolejny wykorzystują siłę frazy koronawirus, by zachęcać swoje ofiary do instalacji szkodliwego oprogramowania. Tym razem kluczem jest uprzednia infekcja routerów, w których modyfikowane są ustawienia DNS. W efekcie, w niektórych przypadkach urządzenia przekierowują użytkownika na spreparowane strony, gdzie można pobrać rzekomy pakiet informacji o koronawirusie. W praktyce jest to instalator szkodliwego oprogramowania Oski.

Hakerzy wykorzystali DNS, by przekierowywać na strony z malware, fot. Getty Images
Hakerzy wykorzystali DNS, by przekierowywać na strony z malware, fot. Getty Images
Oskar Ziomek

26.03.2020 11:26

O szczegółach informuje Bitdefender oraz Bleeping Computer. Istotą ataku jest podmiana ustawień DNS w routerach i przekierowanie użytkownika na fałszywe strony, na co podatny jest sprzęt Linksys od D-Link. Jak wykryto, dzieje się to między innymi przy próbach otwarcia strony Disneya, imageshack, skróconych linków bit.ly czy stron z pornografią.

Informacja zachęcająca do pobrania aplikacji związanej z koronawirusem, w rzeczywistości skutkuje pobraniem malware.
Informacja zachęcająca do pobrania aplikacji związanej z koronawirusem, w rzeczywistości skutkuje pobraniem malware.

Zamiast strony, którą chce odwiedzić użytkownik, wyświetlana jest spreparowana witryna, na której zamieszczono informację o COVID-19. Odwiedzający jest zachęcany do instalacji aplikacji dostarczającej najświeższe informacje o koronawirusie, co ma być propozycją wprost od Światowej Organizacji Zdrowia. W rzeczywistości link prowadzi do instalatora malware o nazwie Oski, które jest wykorzystywane do wykradania prywatnych informacji, w tym z systemowego rejestru oraz loginów i haseł zapisanych w przeglądarkach na komputerze ofiary.

Jak wynika z analizy Bitdefendera, problem dotyczy przede wszystkim Stanów Zjednoczonych i Niemiec, ale również Polska znalazła się na liście krajów, w których atakujący przeprowadzają swoje działania. Czas teraźniejszy jest nieprzypadkowy – w chwili tworzenia niniejszego tekstu fałszywe strony są nadal dostępne, przez co nieświadomi zagrożenia użytkownicy wciąż są narażeni na problemy.

Polska jest wśród krajów dotkniętych problemem, ale skala jest dużo większa m.in. w USA i Niemczech, źródło: Bitdefender.
Polska jest wśród krajów dotkniętych problemem, ale skala jest dużo większa m.in. w USA i Niemczech, źródło: Bitdefender.

Bitdefender podaje dodatkowe informacje jedynie w przypadku routerów Linksysa. Tutaj problemem i furtką dla atakujących okazuje się usługa Linksys smart Wi-Fi, która pozwala dostać się do ustawień routera zdalnie. Aby zabezpieczyć się przez atakiem, zaleca się więc sprawdzić, czy hasło do usługi jest mocne, a przez to trudne do zgadnięcia. Wciąż zaskakująca liczba ataków bazuje na losowym wpisywaniu typowych, domyślnych haseł wielu urządzeń sieciowych, których nieświadomi zagrożenia użytkownicy nie zmieniają na własne kombinacje.

Użytkownicy, którzy zauważyli, że padli ofiarami atakujących, powinni przywrócić ustawienia DNS w routerze, na przykład do domyślnych. Jeśli pobrano szkodliwe oprogramowanie, należy go oczywiście nie instalować, jednak jeśli zostało to już zrobione, pozostaje ratowanie się oprogramowaniem antywirusowym, dokładnym sprawdzeniem komputera i zmianą danych logowania, które mogły zostać wykradzione z przeglądarek.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (47)