Hacker übernehmen DNS von Routern, um gefälschte COVID-19-App zu verbreiten

Hacker nutzen die Angst vor dem aktuellen Coronavirus (COVID-19) Ausbruch als Köder für Cyberangriffe, sei es durch die Ausnutzung von Coronavirus-Karten, um Benutzerdaten zu stehlen, oder durch gefälschte Coronavirus-Tracking-Apps, um Android-Geräte zu sperren, oder durch bösartige Android-Apps, die versprechen, eine Coronavirus-Schutzmaske zu erhalten, oder den gemeldeten Hacking-Versuch gegen die Weltgesundheitsorganisation (WHO).

In einer neu entdeckten Cyberangriffskampagne haben Forscher herausgefunden, dass Hacker angeblich die DNS-Einstellungen von Routern übernehmen, sodass Webbrowser gefälschte WHO COVID-19-Warnungen anzeigen und Windows-Computerbenutzer auf bösartige Inhalte umleiten.

Laut BleepingComputer erlebten die Opfer der Kampagne, dass ihre Webbrowser automatisch geöffnet wurden und eine Nachricht anzeigten, die sie anweist, einen „Notfall – COVID-19 Informator“ oder „COVID-19 Inform App“ herunterzuladen, die angeblich von der WHO stammt. In Wirklichkeit ist die betrügerische App die informationsstehlende Malware namens Oksi.

Bei weiteren Untersuchungen stellte sich heraus, dass diese Warnungen das Ergebnis eines Cyberangriffs waren, der die DNS-Server änderte, die auf den D-Link- oder Linksys-Routern der Opfer konfiguriert waren, um DNS-Server zu verwenden, die von den Angreifern betrieben wurden.

Da die meisten Computer die IP-Adresse und DNS-Informationen verwenden, die von ihrem Router bereitgestellt werden, leiteten die bösartigen DNS-Server die Opfer auf bösartige Inhalte unter der Kontrolle der Angreifer um, so die Experten.

Für diejenigen, die es nicht wissen, Oksi ist in der Lage, browserbasierte Daten zu stehlen – einschließlich Cookies, Internetverlauf und Zahlungsinformationen – sowie gespeicherte Anmeldeinformationen, Kryptowährungs-Wallets, Textdateien, Informationen zur automatischen Ausfüllung von Browserformularen und Authy 2FA-Authenticator-Datenbanken.

Es ist noch unklar, wie die Angreifer Zugriff auf die betroffenen Router erlangten, aber einige Benutzer geben an, dass sie ihre Fernzugriffsfunktionen mit einem schwachen Admin-Passwort offen gelassen hatten.

„Dieser Angriff hebt die Notwendigkeit hervor, dass die Menschen sicherstellen, dass sie den Standardbenutzernamen/das Standardpasswort für ihren Heimrouter ändern, da eine Reihe der betroffenen Benutzer zugegeben haben, eine schwache oder standardmäßige Kombination zu haben“, sagte Laurence Pitt, globaler Sicherheitsstrategiedirektor bei Juniper Networks. „Die meisten Internetanbieter bieten heute Router an, die eine anständige Standard-Sicherheitskonfiguration haben. Es scheint, dass dieser Angriff eine bestimmte Routermarke ins Visier genommen hat, was auch darauf hindeutet, dass Benutzer die Standard-Admin-/Passwortkombination zum Zugriff auf das Gerät gelassen haben.“

Laut BleepingComputer verwendet Microsoft, wenn ein Computer mit einem Netzwerk verbunden ist, eine Funktion namens „Network Connectivity Status Indicator (NCSI)“, um die Internetverbindung zu überprüfen.

In diesem Fall, anstatt sich mit der legitimen Microsoft-IP-Adresse zu verbinden, leiten die bösartigen DNS-Server den Benutzer zu einer von Hackern kontrollierten Seite, die die Warnung anzeigt, eine gefälschte „Notfall – COVID-19 Informator“ oder „COVID-19 Inform App“ von der WHO herunterzuladen und zu installieren.

Wenn ein Benutzer die Anwendung herunterlädt und installiert, wird anstelle einer COVID-19-Informations-App der Oski informationsstehlende Trojaner auf seinem Computer installiert.

Bei der Ausführung wird diese Malware versuchen, Informationen wie Browser-Cookies, Browser-Internetverlauf, Browser-Zahlungsinformationen, gespeicherte Anmeldeinformationen, Kryptowährungs-Wallets, Textdateien, Informationen zur automatischen Ausfüllung von Browserformularen, Authy 2FA-Authenticator-Datenbanken, einen Screenshot des Desktops des Benutzers zum Zeitpunkt der Infektion und mehr zu stehlen.

Diese gestohlenen Informationen werden dann auf einen Remote-Server hochgeladen, wo die Angreifer die Daten sammeln, um weitere Angriffe auf die Online-Konten des Opfers durchzuführen, um Geld von Bankkonten zu stehlen, Identitätsdiebstahl zu begehen oder weitere Spear-Phishing-Angriffe durchzuführen.

Wenn Ihr Browser zufällig eine Werbeseite für eine COVID-19-Informations-App öffnet, stellen Sie sicher, dass Sie Ihren Router so neu konfigurieren, dass er automatisch seine DNS-Server von Ihrem ISP erhält. Es wird auch empfohlen, Ihr Passwort auf ein stärkeres zu ändern und die Fernadministration am Router zu deaktivieren.

Für diejenigen, die die COVID-19-App heruntergeladen und installiert haben, führen Sie sofort einen Malware-Scan auf Ihrem Computer durch. Sobald er sauber ist, stellen Sie sicher, dass Sie die Passwörter für alle Seiten ändern, deren Anmeldeinformationen in Ihrem Browser gespeichert sind, sowie für die Seiten, die Sie nach der Infektion besucht haben. Am wichtigsten ist, dass Sie sicherstellen, dass Sie ein einzigartiges Passwort für jede Seite verwenden, während Sie Ihre Passwörter zurücksetzen.