Hacker che dirottano il DNS dei router per consegnare un'app falsa sul COVID-19

Gli hacker stanno usando la paura dell’attuale epidemia di Coronavirus (COVID-19) come esca per attacchi informatici, sia sfruttando le mappe del Coronavirus per rubare informazioni degli utenti, sia con un’app di tracciamento del Coronavirus falsa per bloccare i dispositivi Android, sia con un’app Android malevola che promette di fornire una maschera di sicurezza contro il Coronavirus, sia con il tentativo di hacking riportato contro l’Organizzazione Mondiale della Sanità (OMS).

In una campagna di attacco informatico recentemente scoperta, i ricercatori hanno trovato che gli hacker stanno dirottando le impostazioni DNS dei router in modo che i browser web mostrino falsi avvisi COVID-19 dell’OMS e reindirizzino gli utenti di computer Windows a contenuti malevoli.

Secondo BleepingComputer, le vittime della campagna hanno assistito all’apertura automatica dei loro browser web, che mostrano un messaggio che istruisce a scaricare un “Informator – Emergenza COVID-19” o “App Inform COVID-19” che sarebbe stata presumibilmente dall’OMS. In realtà, l’app fraudolenta è il malware che ruba informazioni chiamato Oksi.

A seguito di ulteriori indagini, è stato scoperto che questi avvisi erano il risultato di un attacco informatico che ha cambiato i server DNS configurati sui router D-Link o Linksys domestici della vittima per utilizzare server DNS operati dagli attaccanti.

Poiché la maggior parte dei computer utilizza l’indirizzo IP e le informazioni DNS fornite dal proprio router, i server DNS malevoli hanno reindirizzato le vittime a contenuti malevoli sotto il controllo degli attaccanti, secondo gli esperti.

Per chi non lo sapesse, Oksi è in grado di rubare dati basati sul browser — inclusi cookie, cronologia di navigazione e informazioni di pagamento — così come credenziali di accesso salvate, portafogli di criptovalute, file di testo, informazioni di completamento automatico dei moduli del browser e database di autenticazione Authy 2FA.

Non è ancora chiaro come gli attaccanti abbiano ottenuto accesso ai router colpiti, ma alcuni utenti affermano di aver lasciato abilitate le loro capacità di accesso remoto con una password di amministratore debole.

“Questo attacco evidenzia la necessità per le persone di assicurarsi di cambiare il nome utente/password predefiniti per il proprio router domestico, poiché un certo numero di utenti colpiti ha ammesso di avere una combinazione debole o predefinita,” ha dichiarato Laurence Pitt, direttore della strategia di sicurezza globale di Juniper Networks. “La maggior parte dei fornitori di internet oggi fornisce router che hanno una configurazione di sicurezza predefinita di forza decente. Sembra che questo attacco abbia preso di mira un certo marchio di router, [il che] indicherebbe anche che gli utenti hanno lasciato la combinazione di amministratore/password predefinita per accedere al dispositivo.”

Secondo BleepingComputer, quando un computer si connette a una rete, Microsoft utilizza una funzione chiamata ‘Indicatore di stato di connettività di rete (NCSI)’ per controllare la connettività a internet.

In questo caso, invece di connettersi all’indirizzo IP legittimo di Microsoft, i server DNS malevoli inviano l’utente a un sito controllato dagli hacker che mostra l’avviso di scaricare e installare un falso ‘Informator – Emergenza COVID-19’ o ‘App Inform COVID-19’ dall’OMS.

Se un utente scarica e installa l’applicazione, invece di ricevere un’app di informazioni sul COVID-19, il Trojan che ruba informazioni Oski verrà installato sul loro computer.

Quando lanciato, questo malware tenterà di rubare informazioni come cookie del browser, cronologia di navigazione del browser, informazioni di pagamento del browser, credenziali di accesso salvate, portafogli di criptovalute, file di testo, informazioni di completamento automatico dei moduli del browser, database di autenticazione Authy 2FA, uno screenshot del desktop dell’utente al momento dell’infezione e altro ancora.

Queste informazioni rubate vengono quindi caricate su un server remoto dove gli attaccanti raccolgono i dati per eseguire ulteriori attacchi sugli account online della vittima per rubare denaro dai conti bancari, eseguire furti di identità o ulteriori attacchi di phishing mirati.

Se il tuo browser sta aprendo casualmente una pagina promozionale dell’app di informazioni sul COVID-19, assicurati di riconfigurare il tuo router in modo che possa ricevere automaticamente i suoi server DNS dal tuo ISP. È anche consigliabile reimpostare la tua password con una più forte e disabilitare l’amministrazione remota sul router.

Per coloro che hanno scaricato e installato l’app COVID-19, esegui immediatamente una scansione malware sul tuo computer. Una volta pulito, assicurati di cambiare le password per tutti i siti le cui credenziali sono salvate nel tuo browser, così come i siti che hai visitato dopo essere stato infettato. Soprattutto, assicurati di utilizzare una password unica per ogni sito mentre reimposti le tue password.