ハッカーがルーターのDNSを乗っ取り偽のCOVID-19アプリを配信

ハッカーは、現在のコロナウイルス（COVID-19）アウトブレイクの恐怖をサイバー攻撃の餌として利用しています。コロナウイルスマップを悪用してユーザー情報を盗んだり、偽のコロナウイルス追跡アプリでAndroidデバイスをロックしたり、コロナウイルス安全マスクを手に入れると約束する悪意のあるAndroidアプリを配布したり、世界保健機関（WHO）に対するハッキングの試みが報告されています。

新たに発見されたサイバー攻撃キャンペーンでは、研究者たちはハッカーがルーターのDNS設定を乗っ取り、ウェブブラウザに偽のWHO COVID-19アラートを表示させ、Windowsコンピュータのユーザーを悪意のあるコンテンツにリダイレクトしていると報告しています。

BleepingComputerによると、このキャンペーンの被害者は、ウェブブラウザが自動的に開き、「Emergency – COVID-19 Informator」または「COVID-19 Inform App」をダウンロードするよう指示するメッセージが表示されるのを目撃しました。このアプリはWHOからのものであるとされていましたが、実際には情報を盗むマルウェアであるOksiです。

さらに調査したところ、これらのアラートは、被害者の自宅のD-LinkまたはLinksysルーターに設定されているDNSサーバーを攻撃者が運営するDNSサーバーに変更するサイバー攻撃の結果であることが判明しました。

ほとんどのコンピュータは、ルーターが提供するIPアドレスとDNS情報を使用しているため、悪意のあるDNSサーバーは被害者を攻撃者の制御下にある悪意のあるコンテンツにリダイレクトしました。

Oksiは、クッキー、インターネット履歴、支払い情報などのブラウザベースのデータを盗むことができるほか、保存されたログイン資格情報、暗号通貨ウォレット、テキストファイル、ブラウザのフォーム自動入力情報、Authy 2FA認証データベースを盗むことができます。

攻撃者が影響を受けたルーターにどのようにアクセスしたのかはまだ不明ですが、一部のユーザーはリモートアクセス機能を弱い管理者パスワードで有効にしていたと述べています。

「この攻撃は、人々が自宅のルーターのデフォルトのユーザー名/パスワードを変更する必要があることを強調しています。影響を受けたユーザーの多くが弱いまたはデフォルトの組み合わせを持っていることを認めています」と、Juniper Networksのグローバルセキュリティ戦略ディレクターであるローレンス・ピットは述べています。「今日のほとんどのインターネットプロバイダーは、適切な強度のデフォルトセキュリティ設定を持つルーターを提供しています。この攻撃は特定のブランドのルーターをターゲットにしているようで、ユーザーがデバイスにアクセスするためのデフォルトの管理者/パスワードの組み合わせをそのままにしていたことを示しています。」

BleepingComputerによると、コンピュータがネットワークに接続すると、Microsoftは「ネットワーク接続状態インジケーター（NCSI）」という機能を使用してインターネット接続を確認します。

この場合、正当なMicrosoftのIPアドレスに接続する代わりに、悪意のあるDNSサーバーはユーザーをハッカーが制御するサイトに送信し、WHOからの偽の「Emergency – COVID-19 Informator」または「COVID-19 Inform App」をダウンロードしてインストールするように警告を表示します。

ユーザーがアプリケーションをダウンロードしてインストールすると、COVID-19情報アプリを受け取る代わりに、Oski情報盗難トロイの木馬がコンピュータにインストールされます。

このマルウェアが起動されると、ブラウザのクッキー、ブラウザのインターネット履歴、ブラウザの支払い情報、保存されたログイン資格情報、暗号通貨ウォレット、テキストファイル、ブラウザのフォーム自動入力情報、Authy 2FA認証データベース、感染時のユーザーのデスクトップのスクリーンショットなどの情報を盗もうとします。

盗まれた情報はリモートサーバーにアップロードされ、攻撃者はデータを収集して被害者のオンラインアカウントに対してさらなる攻撃を行い、銀行口座からお金を盗んだり、身分を盗んだり、さらなるスピアフィッシング攻撃を行ったりします。

もしあなたのブラウザがランダムにCOVID-19情報アプリのプロモーションページを開いている場合は、ルーターを再構成してISPから自動的にDNSサーバーを受信できるようにしてください。また、パスワードをより強力なものにリセットし、ルーターのリモート管理を無効にすることをお勧めします。

COVID-19アプリをダウンロードしてインストールした方は、すぐにコンピュータでマルウェアスキャンを実行してください。クリーンになったら、ブラウザに保存されているすべてのサイトの資格情報と、感染後に訪れたサイトのパスワードを変更してください。最も重要なことは、パスワードをリセットする際に、すべてのサイトでユニークなパスワードを使用することを確認してください。